Filtración de datos de Ashley Madison
En julio de 2015, una persona o grupo desconocido autodenominado "The Impact Team" anunció que había robado los datos de los usuarios de Ashley Madison, un sitio web comercial que se promocionaba como un facilitador de relaciones extramatrimoniales. Los piratas informáticos realizaron un volcado de la información personal de la base de datos de los usuarios del sitio y amenazaron con hacer públicos los nombres de los usuarios, además de la información de identificación personal de los mismos, si la página de Ashley Madison no cerraba inmediatamente. Para evidenciar la gravedad de la amenaza, los atacantes inicialmente revelaron la información personal de más de 2.500 usuarios, aunque la empresa en un principio negó que sus registros fueran inseguros y continuó operando.
La ausencia de medidas de seguridad apropiadas en el sitio, junto con la negligencia de no eliminar la información personal de los usuarios de su base de datos, incluyendo nombres reales, direcciones específicas, historial de búsquedas y registros de transacciones con tarjetas de crédito, generó inquietudes entre los usuarios acerca de la posibilidad de ser expuestos públicamente. Dichas preocupaciones, como se demostró posteriormente, estaban justificadas.
Los días 18 y 20 de agosto del mismo año, se hicieron públicos más de 60 gigabytes de datos de la empresa, incluidos los detalles de los usuarios. Entre los datos publicados incluso figuraba la información personal de los usuarios que habían pagado al sitio para eliminar su información personal, puesto que la empresa no eliminaba dichos datos a pesar de afirmar haberlo hecho.
Cronología
[editar]El grupo anunció el ataque el 19 de julio de 2015, además de amenazar con exponer las identidades de los usuarios de Ashley Madison si su empresa matriz, Avid Life Media, no cerraba la página web, además de su sitio gemelo, "Established Men". [1]
El 20 de julio de 2015, el sitio web de Ashley Madison publicó tres declaraciones en su sección de relaciones mediáticas abordando la infracción. La cuenta de Twitter del sitio web, que normalmente era muy activa, guardó silencio aparte de publicar los comunicados de prensa. [2] Una de las declaraciones publicadas decía:
En este momento, hemos podido asegurar nuestros sitios y cerrar los puntos de acceso no autorizados. Estamos trabajando con las fuerzas del orden, que están investigando este acto delictivo. Todas y cada una de las partes responsables de este acto de Ciberterrorismo serán responsabilizadas. En virtud de la Digital Millennium Copyright Act (DMCA), nuestro equipo ha eliminado los mensajes relacionados con este incidente, así como toda la información de identificación personal (PII) de nuestros usuarios publicada en línea.[3]
El sitio también ofreció renunciar al cargo que cobraban por la eliminación de la cuenta de sus usuarios.
"The Impact Team" publicó más de 2.500 registros de clientes el 21 de julio, pero la empresa en un principio negó la afirmación de que su base de datos principal fuera insegura o hubiera sido pirateada. [4] Sin embargo, el 18 de agosto se publicaron más de 60 gigabytes de datos adicionales y se confirmó que eran verídicos. [5] La información fue publicada en BitTorrent en forma de un archivo comprimido de 10 gigabytes y el enlace fue publicado en un sitio web de la red oscura, al que solo se puede acceder a través del navegador Tor. [6] Los datos fueron firmados criptográficamente[7]con una clave PGP para asegurar la integridad y la veracidad de los datos. En su mensaje, el grupo culpa a Avid Life Media, acusando a la empresa de prácticas engañosas: "Hemos explicado el fraude, el engaño y la estupidez de ALM y sus miembros. Ahora todos pueden ver sus datos... Es una lástima para ALM, prometisteis discreción pero no lo cumplisteis."
En respuesta, Avid Life Media emitió un comunicado declarando que la compañía estaba trabajando en conjunto con las autoridades para investigar, además de afirmar que los piratas informáticos no eran "hacktivistas" sino delincuentes.[8] El 20 de agosto de 2015 se publicó un segundo volcado de datos más extenso, cuyo archivo más grande comprendía 12,7 gigabytes de correos electrónicos corporativos, incluidos los de Noel Biderman, director ejecutivo de Avid Life Media.[9]
En julio de 2017, Avid Life Media (rebautizada como Ruby Corporation) llegó a un acuerdo para solventar dos docenas de demandas derivadas de la infracción por 11,2 millones de dólares.[10]
Impacto y ética
[editar]Ninguna de las cuentas del sitio web necesitaba verificación de correo electrónico para crear el perfil, lo que permitió que las personas que utilizaban el sitio web creasen perfiles asociados a direcciones de correo electrónico falsas. La empresa de Ashley Madison exigía a los propietarios de las cuentas que pagaran para eliminar el perfil asociado al correo electrónico, impidiendo que las personas que tenían cuentas configuradas sin su consentimiento (ya fuera como una broma o un correo electrónico mal escrito) pudieran eliminarlas sin antes realizar un pago.[11] Los piratas informáticos alegaron que Avid Life Media llegó a recibir hasta 1,7 millones de dólares al año de las personas que pagaban para borrar sus cuentas creadas en el sitio web. La empresa afirmaba falsamente que una vez realizado el pago, ellos "eliminarían por completo" los perfiles, pero el hackeo demostró que esto no se llegó a cumplir. [11]
Josh Duggar, un hombre de 27 años que se hizo famoso con su aparición como miembro adolescente de una familia cristiana conservadora que protagonizó un reality de televisión llamado 19 Kids and Counting, fue uno de los usuarios más notorios de Ashley Madison cuyos datos fueron violados. Entre los datos publicados se incluyeron registros de casi 1.000 dólares en transacciones con una tarjeta de crédito a su nombre. La noticia de la divulgación de datos agravó sus problemas relacionados con las revelaciones de principios de ese año sobre informes policiales acerca de su conducta sexual inapropiada, y el 20 de agosto admitió que le había sido infiel a su esposa. [12] [13] El 25 de agosto de ese mismo año ingresó en un centro de rehabilitación. [14] [15] [16]
Tras el ataque, ciertas comunidades de vigilantes de Internet comenzaron a buscar personas famosas a los cuales planeaban humillar públicamente.[17] El medio France24 informó que en la base de datos filtrada había 1.200 direcciones de correo electrónico '.sa', pertenecientes a dominios de Arabia Saudita, que eran aún más extorsionables puesto que el adulterio se castiga con la muerte en Arabia Saudita. [18] En el sitio web se registraron varios miles de direcciones de correo electrónico estadounidenses con las extensiones de dominio .mil y .gov.[19][20][21], pertenecientes a dominios militares y gubernamentales. En los días posteriores a la filtración, los extorsionadores comenzaron a poner en su punto de mira a personas cuya información personal se encontraba incluida en la filtración, intentando estafarles más de 200 dólares estadounidenses en Bitcoins. [22] [23] [24] Incluso una empresa llegó a ofrecer un servicio de búsqueda, en el cual las personas podían escribir las direcciones de correo electrónico de sus colegas o cónyuges en el sitio web, y si la dirección de correo electrónico estaba en la filtración de la base de datos, entonces la empresa les enviaba cartas amenazándolos con que sus datos serían expuestos, a menos que pagaran dinero a la empresa. [25] [26]
Diversos expertos en seguridad y activistas de la privacidad en Internet participaron en un debate sobre la ética mediática de los periodistas que informan sobre los detalles de los datos, incluyendo los nombres de los usuarios que fueron expuestos como miembros. [17] [27] [28] [29] Algunos comentaristas realizaron comparaciones entre este incidente de hackeo y la pérdida de privacidad experimentada durante el hackeo de fotografías de celebridades de 2014. [30] [31]
En sus declaraciones para un artículo, algunos psicólogos clínicos expresaron que abordar una aventura de manera particularmente pública aumenta el daño para los cónyuges y los hijos. [32] Carolyn Gregoire, escritora de salud y ciencia del periódico HuffPost, y autora del artículo que incluye las declaraciones de los distintos expertos, argumentó que "las redes sociales han creado una cultura agresiva de difamación pública en la que los individuos se encargan de infligir daño psicológico" y que, en la mayoría de los casos, "el castigo va más allá del alcance del delito". [32] El bloguero británico de ciberseguridad Graham Cluley analizó que las consecuencias psicológicas para las personas avergonzadas podrían ser inmensas, y que sería posible que algunas fueran intimidadas e inducidas al suicidio.[33] [34] El experto en psicología de relaciones de pareja Charles J. Orlando, que se había unido al sitio para realizar una investigación sobre las mujeres que engañan infiltrándose como un marido infiel, escribió sobre su preocupación por los cónyuges e hijos de los adúlteros desenmascarados, diciendo que "la mafia que es Internet está más que dispuesta a servir como juez, jurado, y verdugo" y que los miembros del sitio no merecían "una flagelación en la plaza virtual del pueblo ante millones de espectadores". [35]
El 24 de agosto de 2015, la policía de Toronto anunció que dos suicidios no confirmados habían sido relacionados con la filtración de datos, además de "varios informes de crímenes de odio relacionados con el ciberataque". Avid Life Media también informó de que distintos cuerpos de seguridad, entre ellos la Policía Montada de Canadá o el FBI, estaban involucrados en la investigación sobre la filtración. [36] [37] Informes sin verificar hablan acerca de un hombre en Estados Unidos que posiblemente se suicidó a raíz de este incidente. [25] Desde entonces se ha informado de que al menos un suicidio, que en un principio habría sido relacionado con la filtración de Ashley Madison, se debió al "estrés enteramente relacionado con problemas en el trabajo que no tenían ninguna conexión con la filtración de datos". [38] Ese mismo día, un pastor y profesor del Seminario Teológico Bautista de Nueva Orleans se suicidó dejando una nota citando la filtración producida seis días antes. [39]
Los usuarios afectados por la filtración presentaron una demanda colectiva por valor de 567 millones de dólares contra Avid Life Media, la compañía propietaria de Ashley Madison, a través de los bufetes de abogados canadienses Charney Lawyers and Sutts y Strosberg LLP.[40] En julio de 2017, el propietario de Ruby Corp. (El nuevo nombre de Avid Life Media) anunció que la empresa resolvería la demanda por 11,2 millones de dólares.[41] En una entrevista de 2019, el director de estrategia de Ashley Madison, Paul Keable, confirmó la instalación de funciones de seguridad como verificación de dos factores, cumplimiento del estándar PCI DSS y navegación completamente cifrada a raíz del ciberataque de 2015.[42]
Análisis de los datos
[editar]Annalee Newitz, editora jefe de Gizmodo, realizó un reportaje analizando los datos obtenidos de la filtración.[43] Inicialmente descubrieron que sólo 12.000 de los 5,5 millones de cuentas femeninas registradas aproximadamente se utilizaban de forma regular, suponiendo alrededor del 0,2%.[44] [45] El porcentaje de cuentas restante pertenece a las que habían sido utilizadas sólo una vez, siendo esta el día de su registro. Newitz también descubrió que una gran cantidad de las cuentas asociadas a mujeres fueron creadas desde la misma dirección IP, lo que sugiere que muchas cuentas fueron falsamente creadas. Descubrieron que las mujeres que revisaban los mensajes de correo electrónico lo hacían con muy poca frecuencia en comparación a los hombres: por cada vez que una mujer revisaba su correo electrónico en busca de mensajes, 13.585 hombres revisaban el suyo. Sólo unas 9.700 de las 5 millones de cuentas femeninas habían respondido alguna vez a un mensaje, en comparación con los 5,9 millones de hombres que habían hecho lo mismo. En su reportaje, llegaron a la conclusión de que "las cuentas pertenecientes a mujeres exhiben una actividad tan insignificante que fácilmente podría interpretarse como inexistente".[44] En un artículo publicado a la semana siguiente, Newitz reconoció que habían "malinterpretado la evidencia" en su artículo anterior, y que su conclusión de que había pocas mujeres activas en el sitio en realidad había sido erróneamente basada en los datos registrados acerca de las actividades de los "robots" al contactar a los miembros. También indicaron que "no tenemos ningún dato que registre la actividad humana en absoluto en el volcado de la base de datos de Ashley Madison del Impact Team. Todo lo que podemos ver es cuando los falsos humanos contactaron con los reales". [46]
Las contraseñas del sitio web estaban cifradas haciendo uso del algoritmo bcrypt. [47] [48] Un analista de seguridad, llamado Erik Cabetas, utilizó la herramienta de recuperación de contraseñas Hashcat con un diccionario basado en las contraseñas de RockYou descubrió que entre las 4.000 contraseñas más fáciles de descifrar, "123456" y "contraseña" eran de las contraseñas más utilizadas dentro del sitio web, además de otro elevado número de ellas compuestas únicamente por secuencias de números, ya fueran sucesivos o repetidos. Además, un análisis de contraseñas antiguas utilizadas en una versión archivada reveló que "123456" y "contraseña" también fueron las contraseñas más comúnmente empleadas. [49] Debido a un error de diseño en el que las contraseñas se codificaban tanto con bcrypt como el algoritmo MD5, se pudieron descifrar 11 millones de contraseñas.[50]
Reconociendo que algunos hombres habían descubierto la estratagema, la redactora Claire Brownell del Financial Post sugirió que, si se llevaran a cabo solo unas pocas interacciones, los chatbots que imitaban a mujeres y que habrían conseguido engañar a muchos hombres para que compraran cuentas especiales podrían posiblemente superar el test de Turing.[51]
Véase también
[editar]Referencias
[editar]- ↑ «Online Cheating Site AshleyMadison Hacked». krebsonsecurity.com. 15 de julio de 2015. Archivado desde el original el 16 de diciembre de 2021. Consultado el 20 de julio de 2015.
- ↑ «Ashley Madison». Twitter. Archivado desde el original el 19 de agosto de 2015. Consultado el 20 de agosto de 2015.
- ↑ Ashley Madison (20 de julio de 2015). «Statement from Avid Life Media, Inc.». Archivado desde el original el 21 de julio de 2015. Consultado el 22 de julio de 2015.
- ↑ Hern, Alex (21 de julio de 2015). «Ashley Madison customer service in meltdown as site battles hack fallout». The Guardian. Archivado desde el original el 1 de marzo de 2017. Consultado el 14 de diciembre de 2016.
- ↑ «Ashley Madison condemns attack as experts say hacked database is real». The Guardian. 19 de agosto de 2015. Archivado desde el original el 26 de marzo de 2016. Consultado el 19 de agosto de 2015.
- ↑ Hern, Alex (20 de agosto de 2015). «Ashley Madison hack: your questions answered». The Guardian. Archivado desde el original el 2 de marzo de 2017. Consultado el 14 de diciembre de 2016.
- ↑ «No, You Can't Hire A Hacker To Erase You From The Ashley Madison Leak». Fast Company. 20 de agosto de 2015. Archivado desde el original el 20 de agosto de 2015. Consultado el 21 de agosto de 2015.
- ↑ «Statement from Avid Life Media Inc. – August 18, 2015». Ashley Madison. 18 de agosto de 2015. Archivado desde el original el 19 de agosto de 2015. Consultado el 19 de agosto de 2015.
- ↑ Pagliery, Jose (20 de agosto de 2015). «Hackers expose Ashley Madison CEO's emails». CNN Business. Archivado desde el original el 28 de marzo de 2022. Consultado el 2 de agosto de 2020.
- ↑ Kravets, David (17 de julio de 2017). «Lawyers score big in settlement for Ashley Madison cheating site data breach». Ars Technica (en inglés estadounidense). Archivado desde el original el 19 de julio de 2017. Consultado el 19 de julio de 2017.
- ↑ a b «Some Dude Created an Ashley Madison Account Linked to My Gmail, and All I Got Was This Lousy Extortion Screen». The Intercept. 21 de julio de 2015. Archivado desde el original el 22 de agosto de 2015. Consultado el 24 de agosto de 2015.
- ↑ Ford, Dana (20 de agosto de 2015). «Josh Duggar after Ashley Madison hack: 'I have been the biggest hypocrite ever'». CNN. Archivado desde el original el 20 de agosto de 2015. Consultado el 20 de agosto de 2015.
- ↑ Remling, Amanda (20 de agosto de 2015). «'19 Kids And Counting' Star Josh Duggar Admits He Was Unfaithful To Wife Anna After Ashley Madison Leak». International Business Times. Archivado desde el original el 20 de agosto de 2015. Consultado el 20 de agosto de 2015.
- ↑ Puente, Maria (26 de agosto de 2015). «Josh Duggar checks into rehab, family says». USA Today. Archivado desde el original el 19 de mayo de 2018. Consultado el 22 de agosto de 2017.
- ↑ Larimer, Sarah (26 de agosto de 2015). «Josh Duggar enters 'long-term treatment center' following 'wrong choices'». The Washington Post. Archivado desde el original el 19 de mayo de 2018. Consultado el 22 de agosto de 2017.
- ↑ Leopold, Todd (26 de agosto de 2015). «Josh Duggar enters rehab, family says». CNN. Archivado desde el original el 30 de agosto de 2015. Consultado el 26 de agosto de 2015.
- ↑ a b «Early Notes on the Ashley Madison Hack». The Awl. Archivado desde el original el 21 de agosto de 2015. Consultado el 20 de agosto de 2015.
- ↑ «Americas - The global fallout of the Ashley Madison hack». France 24. 20 de agosto de 2015. Archivado desde el original el 23 de agosto de 2015. Consultado el 24 de agosto de 2015.
- ↑ Gibbons-Neff, Thomas (19 de agosto de 2015). «Thousands of .mil addresses potentially leaked in Ashley Madison hack». The Washington Post. Archivado desde el original el 20 de agosto de 2015. Consultado el 20 de agosto de 2015.
- ↑ «Report: Hack of Adultery Site Ashley Madison Exposed Military Emails». Military.com. 31 de octubre de 2017. Archivado desde el original el 20 de agosto de 2015. Consultado el 20 de agosto de 2015.
- ↑ Ewing, Philip (20 de agosto de 2015). «Pentagon investigating whether troops used cheating website». Politico. Archivado desde el original el 20 de agosto de 2015. Consultado el 21 de agosto de 2015.
- ↑ Krebs, Brian (21 de agosto de 2015). «Extortionists Target Ashley Madison Users». Krebs on security. Archivado desde el original el 22 de agosto de 2015. Consultado el 22 de agosto de 2015.
- ↑ «Extortion begins for Ashley Madison hack victims». The Hill. 21 de agosto de 2015. Archivado desde el original el 23 de agosto de 2015. Consultado el 24 de agosto de 2015.
- ↑ «Ashley Madison users now facing extortion». FOX2now.com. 21 de agosto de 2015. Archivado desde el original el 22 de agosto de 2015. Consultado el 24 de agosto de 2015.
- ↑ a b «Ashley Madison spam starts, as leak linked to first suicide». theregister.co.uk. Archivado desde el original el 11 de marzo de 2017. Consultado el 24 de agosto de 2017.
- ↑ «The Ashley Madison files – are people really this stupid?». theregister.co.uk. Archivado desde el original el 22 de marzo de 2017. Consultado el 24 de agosto de 2017.
- ↑ «In the wake of Ashley Madison, towards a journalism ethics of using hacked documents». Online Journalism Blog. 20 de julio de 2015. Archivado desde el original el 18 de agosto de 2015. Consultado el 20 de agosto de 2015.
- ↑ «Ashley Madison hack: The ethics of naming users - Fortune». Fortune. Archivado desde el original el 20 de agosto de 2015. Consultado el 20 de agosto de 2015.
- ↑ «Jon Ronson And Public Shaming». onthemedia. Archivado desde el original el 4 de marzo de 2016. Consultado el 20 de agosto de 2015.
- ↑ «Ashley Madison hack: The depressing rise of the 'moral' hacker». Telegraph.co.uk. 20 de agosto de 2015. Archivado desde el original el 15 de septiembre de 2017. Consultado el 4 de abril de 2018.
- ↑ «As our own privacy becomes easier to invade, are we losing our taste for celebrity sleaze?». newstatesman.com. 5 de agosto de 2015. Archivado desde el original el 21 de agosto de 2015. Consultado el 20 de agosto de 2015.
- ↑ a b Gregoire, Carolyn (20 de agosto de 2015). «Ashley Madison Hack Could Have A Devastating Psychological Fallout». HuffPost. Archivado desde el original el 23 de noviembre de 2015. Consultado el 24 de agosto de 2015.
- ↑ «The Ashley Madison hack - further thoughts on its aftermath». Graham Cluley. 28 de julio de 2015. Archivado desde el original el 18 de septiembre de 2016. Consultado el 24 de agosto de 2015.
- ↑ Farhad Manjoo (6 de septiembre de 2015). «Hacking victims deserve empathy, not ridicule». Sydney Morning Herald. Archivado desde el original el 7 de septiembre de 2015. Consultado el 6 de septiembre de 2015.
- ↑ Charles J. Orlando (23 de julio de 2015). «I Was Hacked on Ashley Madison – But It's You Who Should Be Ashamed». Yahoo! Style. Archivado desde el original el 21 de marzo de 2017. Consultado el 8 de octubre de 2015.
- ↑ «Ashley Madison hack: 2 unconfirmed suicides linked to breach, Toronto police say». CBC. 24 de agosto de 2015. Archivado desde el original el 24 de agosto de 2015. Consultado el 24 de agosto de 2015.
- ↑ «Suicide and Ashley Madison». Graham Cluley. 24 de agosto de 2015. Archivado desde el original el 24 de septiembre de 2015. Consultado el 24 de agosto de 2015.
- ↑ Beltran, Jacob (25 de agosto de 2015). «Widow addresses suicide of SAPD captain linked to Ashley Madison site». San Antonio Express News. Archivado desde el original el 17 de marzo de 2021. Consultado el 27 de agosto de 2015.
- ↑ Laurie Segall (8 de septiembre de 2015). «Pastor outed on Ashley Madison commits suicide». CNN Business. Archivado desde el original el 14 de mayo de 2020. Consultado el 2 de agosto de 2020.
- ↑ «Ashley Madison faces huge class-action lawsuit». BBC News. 23 de agosto de 2015. Archivado desde el original el 4 de diciembre de 2020. Consultado el 24 de agosto de 2015.
- ↑ «Ashley Madison parent in $11.2 million settlement over data breach». CNBC. 15 de julio de 2017. Archivado desde el original el 15 de julio de 2017. Consultado el 15 de julio de 2017.
- ↑ «Ashley Madison Review». Datingscout.com. Archivado desde el original el 25 de noviembre de 2020. Consultado el 5 de enero de 2020.
- ↑ Newitz, Annalee (27 de agosto de 2015). «The Fembots of Ashley Madison». Gizmodo. Archivado desde el original el 27 de agosto de 2015. Consultado el 28 de agosto de 2015.
- ↑ a b Reed, Brad (27 de agosto de 2015). «The most hilarious revelation about the Ashley Madison hack yet». Yahoo! Tech. Archivado desde el original el 28 de agosto de 2015. Consultado el 28 de agosto de 2015.
- ↑ Gallagher, Paul (27 de agosto de 2015). «Ashley Madison hack: Just three in every 10,000 female accounts on infidelity website are real». The Independent. Archivado desde el original el 28 de noviembre de 2018. Consultado el 24 de agosto de 2017.
- ↑ Newitz, Annalee (31 de agosto de 2015). «Ashley Madison Code Shows More Women, and More Bots». Gizmodo. Archivado desde el original el 19 de octubre de 2017. Consultado el 19 de diciembre de 2015.
- ↑ Dean Pierce. «Sophisticated Security». pxdojo.net. Archivado desde el original el 28 de agosto de 2015. Consultado el 29 de agosto de 2015.
- ↑ Zack Whittaker. «This is the worst password from the Ashley Madison hack». ZDNet. Archivado desde el original el 28 de agosto de 2015. Consultado el 29 de agosto de 2015.
- ↑ Include Security (19 de agosto de 2015). «Include Security Blog - As the ROT13 turns....: A light-weight forensic analysis of the AshleyMadison Hack». includesecurity.com. Archivado desde el original el 22 de agosto de 2015. Consultado el 20 de agosto de 2015.
- ↑ Goodin, Dan (10 de septiembre de 2015). «Once seen as bulletproof, 11 million+ Ashley Madison passwords already cracked». Ars Technica. Archivado desde el original el 10 de septiembre de 2015. Consultado el 10 de septiembre de 2015.
- ↑ Brownell, Claire (11 de septiembre de 2015). «Inside Ashley Madison: Calls from crying spouses, fake profiles and the hack that changed everything». Financial Post. Archivado desde el original el 29 de septiembre de 2015. Consultado el 18 de septiembre de 2015.