Hackers invadem site de traição Ashley Madison e ameaçam vazar dados

No domingo (19/07), um grupo que se institula Impact Team vazou documentos e outros dados tirados da Avid Life Media, a empresa por trás de sites de relacionamento e/ou traição como Ashley Madison, Cougar Life, Established Men, entre outros.

Os documentos incluem uma variedade de informações, indo desde infraestrutura, dados de vendas e marketing, registros de usuários, e mais.

Na mensagem que acompanhou os dados, publicada online em vários locais neste domingo, o Impact Team citou o CTO da ALM, Trevor Skyes, dizendo que a proteção de dados pessoais era um dos seus maiores sucessos.

A citação segue com ele dizendo que odiaria ver os sistemas da companhia hackeados ou as informações dos usuários vazadas. Mas foi exatamente isso que aconteceu.

Como parte do anúncio do hack, o Impact Team disse o seguinte: “Nós os hackeamos completamente, assumindo totalmente os domínios do escritório e produção e milhares de sistemas, e nos últimos anos também pegamos todas as bases de dados com informações dos usuários, os repositório completos com códigos fontes, registros financeiros, documentos, e e-mails, como provamos aqui. E foi fácil. Para uma empresa cuja principal promessa é o segredo, é como se vocês nem tentaram, como se pensassem que nunca irritaram ninguém.”

“A Avid Life Media foi instruída a tirar o Ashley Madison e o Established Men do ar permanentemente de todas as formas, ou vamos liberar todos os registros dos clientes, incluindo perfis com todas as fantasias sexuais secretas dos usuários e suas transações de cartões de crédito, nomes e endereços reais, e documentos e e-mails dos funcionários. Os outros sites da empresa podem continuar online.”

O Impact Team alega que uma das razões para atacar a ALM é porque a empresa “lucra com a dor dos outros”.

O grupo liberou cerca de 40MB de dados como prova das suas ameaças, que incluem detalhes limitados de transações com cartão de créditos, dados de zona de dois domínios, assim como vários documentos retirados dos servidores de dados da ALM.

Uma apresentação vazada pelo Impact Team mostra que a empresa ganhou 1,7 milhão de dólares em 2014 ao cobrar 19 dólares dos usuários que queriam remover todas as suas informações pessoais do site.

“Os usuários do serviços querem discrição total, e podem pagar para eliminar qualquer dados deles mesmos do site”, explica o slide.

No entanto, os registros vazados mostram um outro quadro. Um registro publicado pelo Impact Team mostra que o usuário que pagou por isso, mas com os registros mantidos pela empresa habilitados pelo grupo para determinar o usuário e todos os dados da sua conta.

Em seu anúncio, o Impact Team ainda pediu desculpas para o diretor de segurança da ALM, Mark Steele. “Você fez tudo que podia, mas nada que você pudesse ter feito teria impedido isso.”

O CEO da ALM, Noel Biderman, disse ao jornalista Brian Krebs que é possível que os invasores tenham trabalhado para a empresa antes e tinham acesso interno legítimo aos sistemas.

“Estamos próximos de confirmar quem nós acreditamos ser os culpados, e infelizmente isso pode ter causado essa publicação em massa. Tenho os perfis deles na minha frente, todas as credenciais de trabalho deles. Foi definitivamente uma pessoa aqui que não era um funcionário, mas certamente tocou nossos serviços técnicos”, afirmou.

“Não estamos negando que isso aconteceu. Goste ou não da gente, isso ainda é um ato criminoso”, completou.