lunes, 24 de agosto de 2015

Hackean la web Ashley Madison: 37 millones de adúlteros al descubierto

37 millones de infieles han sido expuestos debido a los hackers, así que si estabas inscrito en Ashley Madison cuidado, tu nombre aparecerá pronto.

Hackean la web Ashley Madison: 37 millones de adúlteros al descubierto

Gizmodo en Español


“La vida es corta. Ten una aventura”. Con esta frase la página de citas Ashley Madison había logrado atraer a más de 37 millones de usuarios registrados y “anónimos”. El estricto anonimato era su mejor carta de presentación. Ya no: la página ha sido hackeada. El autor del ataque asegura tener los datos de todos los usuarios, y ya ha comenzado a filtrar información.

Según el blog especializado en seguridad KrebsOnSecurity, quien reportó primero el ataque, los hackers aseguran haber robado datos de los más de 37 millones de usuarios de Ashley Madison, incluyendo nombres, datos financieros y otra información. Parte de esos datos han comenzado a aparecer online, como prueba del ataque, pero desde entonces ya no están accesibles. El grupo de hackers (o hacker, se desconoce aún si es solo una persona o varias) se autodenonima “The Impact Team”, y ha reivindicado la autoría del ataque sobre los servidores de Avid Life Media(ALM), con sede en Torono, Canadá, propietaria de la página AshleyMadison.com y de otras webs relacionadas como Cougar Life y Established Men. El consejero delegado de ALM, Noel Biderman, ha confirmado a KrebsOnSecurity que, efectivamente, se ha producido el robo de información. La compañía asegura estar trabajando para “proteger su propiedad intelectual”.

En un comunicado colgado online (debajo), los atacantes han exigido el cierre inmediato de Ashley Madison y Established Men. De lo contrario, aseguran, publicarán todos los datos de los más de 37 millones de suscriptores. Es decir, la identidad e información de 37 millones de adúlteros/as revelada al completo. En el comunicado, el hacker o hackers de The Impact Teamaseguran que han decidido realizar el ataque en respuesta a las mentiras de ALM a sus clientes por un servicio que ofrece eliminar por completo el perfil de los usuarios por 19 dólares pero que, según ellos, no lo hace por completo.


De la información filtrada inicialmente online, además de los datos de miembros de la página, también han aparecido detalles sobre la estructura de los servidores internos de la compañía, datos de las claves internas de los empleados o información sobre salarios y cuentas bancarias de ALM. Es decir, han entrado hasta la cocina. Y las primeras sospechas de la compañía apuntan a que han podido tener ayuda de alguien interno para lograr semejante robo.

Según ha confirmado Biderman a KrebsOnSecurity, “estamos a punto de [confirmar] quién creemos que es el culpable, y desafortunadamente eso puede haber llevado a que se produzca esta publicación masiva. Tengo su perfil justo en frente, todas sus credenciales laborales. Era una persona aquí, no un empleado, pero desde luego ha tenido acceso a nuestros servicios técnicos”.

Habrá qué ver en qué acaba la amenaza. No parece que Ashley Madison vaya a aceptar el chantaje de los atacantes. Y estos, si realmente tienen en su poder todos los datos que aseguran tener y los filtran online, pueden protagonizar una de las mayores filtraciones de información personal de la historia de Internet. Y una que provocará muchos, muchos divorcios.

Actualizaremos por aquí con cualquier novedad.

Actualización 17:30 CET: la compañía ALM, dueña de Ashley Madison, acaba de publicar un comunicado dando explicaciones sobre el ataque sufrido. Aseguran que están trabajando con “uno de los mejores equipos de seguridad tecnológica para tomar todos los pasos posibles y mitigar el ataque”. Explican también que, gracias a la ley del Digital Millennium Copyright Act (DMCA), han podido “eliminar los posts relacionados con este incidente y la información de identificación personal de nuestros usuarios publicada online”. De momento, poco más, continúan investigando. El problema es que la amenaza de la filtración masiva de los datos sigue también ahí.

En un comunicado previo, la compañía ha pedido disculpas por “esta intrusión criminal no provocada de la información de nuestros clientes”. Es decir, implícitamente aseguran que no ha habido negligencia por su parte, aunque, como adelantaba el blog KrebsOnSecurity, en los últimos meses la compañía temía que un ataque así podía producirse. ¿Por qué no tomó medidas antes?

Actualización 18:50 CET: AML ha publicado otro comunicado en el que niega el motivo por el que supuestamente el hacker o grupo de hackers The Impact Team asegura haber realizado el ataque: en venganza por un servicio de pago de Ashley Madison que ofrece eliminar el perfil de los usuarios pero que, según ellos, no lo hace, es un timo. La compañía explica que “la opción de “pagar por eliminar” ofrecida por AshleyMadison.com sí elimina toda la información relacionada con el perfil del usuario y su actividad”.

No hay comentarios:

Publicar un comentario en la entrada