37 millones de cuentas de personas que buscan "aventuras" en la red, expuestas. El resultado de un hackeo a la famosa web de citas por internet para "infieles", Ashley Madison, que ha tenido como resultado la exposición de los datos de muchos usuarios de este sitio web en internet. El grupo que ha reclamado la autoría del hackeo afirma haber comprometido por completo las bases de datos de usuarios de la empresa, registros financieros y otro tipo de información personal, por lo que el ataque reviste de una especial gravedad.
En este sentido, todos los datos publicados por el grupo de Hackers, The Impact Team, incluye datos internos sensibles robados de Avid Media Life (ALM), la firma matriz de Ashley Madison, con sede en Toronto y que además es propietaria de otros sitios como Cougar Life y Established Men. Los motivos detrás del hackeo han sido publicado en un manifiesto junto a los datos expuestos en el que el The Impact Team dice que decidió publicar los datos filtrados en respuesta a la supuesta obligación de Avid Media Life a sus usuarios a los que pedían 19 dólares para poder borrar sus perfiles y datos asociados.
Además, el comunicado de los hackers han dejado claro que la exposición de los datos continuarán y que en ningún caso se limitarán solo a Ashley Madison, tambien al resto de webs del sitio como Established Men:
Vamos a liberar a todos los registros de clientes, incluyendo perfiles con fantasías sexuales secretas todos los clientes y las transacciones de tarjetas de crédito, nombres y direcciones reales, y los documentos de los empleados y correos electrónicos.
Todo parece indicar que los motivos reales de los hackers son una especie de castigo después de que, supuestamente, descubrieran que aunque los usuarios pagasen los 19 dólares por borrar la cuenta, estas seguían disponibles aunque de cara al usuario no estuviesen visibles. De hecho, según parece este 'borrado completo' generó a ALM $ 1.7 millones en ingresos solo el año pasado.
Los usuarios casi siempre pagan con tarjeta de crédito; sus detalles de compra no se eliminan como se había prometido e incluyen verdadero nombre y dirección, que por supuesto es la información más importante que los usuarios quieren eliminar
En respuesta al hackeo, el CEO de ALM, Noel Biderman, ha dicho que la compañía está investigando este hackeo y cree que ha sido obra de alguien que en algún momento ha tenido acceso a sus redes y sistemas:
Estamos a las puertas de confirmar quién creemos que es el culpable, y que por desgracia pudiera haber desencadenado esta publicación masiva. Tengo su perfil justo en frente de mí, todas sus credenciales de trabajo. Definitivamente fue una persona que no era un empleado, pero sin duda había tocado nuestros servicios técnicos.
De momento se desconocen más datos sobre el tema, pero iremos actualizando según vayan salido. Si has sido uno de los afectados, lo mejor que puedes hacer es buscar una buena excusa.
(17:24, CEST) Actualizamos con nuevas declaraciones que nos ha hecho llegar Ashley Madison:
A raíz de la intrusión no provocada y criminal en nuestro sistema, Avid Life Media ha puesto inmediatamente a uno de los mejores equipos del mundo de IT (con los que ya hemos trabajado en el pasado) a tomar todas las medidas posibles a mitigar el ataque.
En base al Digital Millennium Copyright Act (DMCA), nuestro equipo ha eliminado con éxito los todos los mensajes relacionados con este incidente, así como toda información de identificación personal (PII) sobre nuestros usuarios publicados en línea. Siempre hemos salvaguardado y tenido en mente la confidencialidad de la información de nuestros clientes y agradecemos que las disposiciones incluidas en el DMCA hayan sido eficaces a la hora de lidiar este asunto.
Nuestro equipo de expertos forenses y profesionales de la seguridad, además de la aplicación de la ley, continúa investigando este incidente e iremos proporcionando actualizaciones a medida que estén disponibles.
Comunicado de Ashley Madison (21 de julio)
Volvemos a actualizar el artículo con un nuevo comunicado que nos remite Ashley Madison:
Hace poco fuimos víctimas de un intento de acceso a nuestros sistemas por un tercero no autorizado. Pedimos disculpas por esta intrusión no provocada y criminal en la información de nuestros clientes. Siempre hemos tenido en mente la confidencialidad de la información de nuestros clientes y hemos tenido estrictas medidas de seguridad en la web, incluyendo el trabajo con los mejores proveedores de informática de todo el mundo.
En este momento, hemos sido capaces de asegurar nuestros sitios web y cerrar los puntos de acceso no autorizados. Estamos trabajando con organismos que se encargan de hacer cumplir la ley, los cuales están investigando este acto criminal. Todos y cada uno de los responsables de este acto de ciber-terrorismo deberán afrontar las consecuencias de sus actos. En base al Acta de derechos de autor digitales del milenio (en inglés Digital Millennium Copyright Act o DMCA), nuestro equipo ha eliminado exitosamente las publicaciones relacionadas con este incidente, así como toda la información personalmente identificable (PII) de nuestros usuarios publicada en internet.
Contrariamente a los artículos publicados por los medios y basados en las acusaciones hechas por el ciber-criminal en internet, la opción de “pago para eliminar el perfil” que ofrece AshleyMadison.com realmente elimina toda la información relacionada con el perfil del miembro y sus comunicaciones. El proceso consiste en una eliminación a fondo del perfil de un usuario solicitante, incluyendo la eliminación de imágenes publicadas y todos los mensajes enviados a otros usuarios en sus bandejas de correo. Esta opción fue desarrollada por petición específica de miembros solo para este servicio y diseñada en base a sus opiniones.
Como la seguridad de nuestros clientes es nuestra máxima preocupación, estamos ofreciendo ahora mismo una opción gratuita de borrado completo para cualquier miembro, a la luz de las noticias de hoy.
Por favor, dirijan todas las peticiones de prensa a media@ashleymadison.com