O site de relacionamentos extra-conjugais AshleyMadison.com foi atacado por hackers, que divulgaram os dados pessoais dos clientes cadastrados – entre eles, 1.500 com emails de domínios do Governo do Brasil.
O arquivo de 9,7 gigabytes foi exposto através da rede Tor, utilizado para imersões na chamada Deep Web, a parte “obscura” da internet. Também já está disponível em torrent.
Os documentos parecem incluir detalhes de email, conta e logins de cerca de 32 milhões de usuários do site. Sete anos de dados de cartão de crédito e outros detalhes de transação de pagamentos são também parte da exposição.
Apesar do vazamento incluir nomes, endereços e e-mails, essas informações podem não ser confiáveis (é improvável que as pessoas tenham fornecido seus dados verdadeiros ao se inscrever no site). Já os cartões de crédito são outra história. Eles podem produzir verdadeiros nomes e endereços, a menos que o cliente tenha usado algum cartão pré-pago anônimo.
Emails .gov.br
Foram encontrados cerca 1.500 emails .GOV.BR na base de dados. Dentre os diversos ramos da administração pública de inúmeros estados do país é possível encontrar emails da dos domínios camara.gov.br, senado.gov.br, planalto.gov.br e caixa.gov.br.
Os hackers também compartilharam as descrições do que os membros do site estavam buscando. “Eu estou procurando por alguém que não é feliz em casa ou está apenas entediado e procurando alguma emoção”, escreveu um membro do Canadá. “Eu adoro quando eu sou chamado e me dizem que eu tenho 15 minutos para chegar a algum lugar onde eu vou ser recebido na porta com uma surpresa, talvez lingerie, nudez”.
Senhas liberadas parecem ter sido criptografadas usando o algoritmo bcrypt para PHP. Robert Graham, CEO da Erratasec, diz que apesar de esta ser uma das maneiras mais seguras para armazenar senhas, hackers ainda são susceptíveis de conseguir roubá-las. “Se as contas ainda estão online, isso significa que os hackers serão capazes de interceptar qualquer correspondência privada associada à conta”, explica.
Moralidade
Os hackers, que se denominam Impact Team (Equipe Impacto), tinham exigido que a Avid Life Media (ALM), proprietária do AshleyMadison.com, tirasse o site do ar, bem como outro de seus serviços, o EstablishedMen.com, que promete conectar belas mulheres jovens com homens mais velhos e ricos.
Quando eles não atenderam ao pedido, a equipe divulgou os dados de seus clientes. Também postaram arquivos com informações financeiras da empresa detalhando salários dos funcionários e documentos de mapeamento da rede interna da empresa.
Os hackers expuseram os dados com o seguinte discurso:
“Avid Life Media falhou em tirar do ar o Ashley Madison e o Established Men. Nós explicamos a fraude, enganação, e estupidez da ALM e seus membros. Agora todos podem ver seus dados.
Encontrou alguém que você conhece aqui? Tenha em mente que o site é um golpe com milhares de perfis femininos falsos. Veja a ação judiciaria contra a Ashley Madison; 90 a 95% dos seus usuários são homens. Há boas chances de que seu marido tenha se inscrito no maior site para casos extraconjugais do mundo, mas nunca tenha tido um. Ele apenas tentou. Se é que a distinção importa.
Encontrou-se aqui? Foi a ALM que falhou com você e mentiu para você. Processe-os e peça uma indenização. Em seguida, siga em frente com sua vida. Aprenda a lição e se redima. Constrangedor agora, mas você vai superar isso”.
Práticas comerciais fraudulentas
Os hackers parecem visar os sites AshleyMadison e EstablishedMen não só pela moral questionável que eles encorajaram, mas também por práticas comerciais fraudulentas.
Apesar de prometer a clientes que excluiriam seus dados por uma taxa US$ 19, a empresa reteve as informações de todo mundo nos servidores da ALM. “Que pena para os homens, mas eles são babacas traidores e não merecem tal discrição”, escreveram os hackers. “Que pena para a ALM, que prometeu sigilo, mas não o deu”.
A ALM segue desafiadoramente ignorando as advertências do grupo e mantendo ambos os sites online mesmo após a violação, prometendo a clientes que aumentaram a segurança das suas redes. Para quem já teve seus dados expostos, no entanto, isso não é nenhum consolo.
Agora, essas pessoas enfrentam constrangimento público, a ira de parceiros furiosos, possível chantagem e fraude de qualquer um que pode utilizar seus dados roubados.
A Avid Life Media condenou a divulgação dos dados.
“Este evento não é um ato de hacktivismo, é um ato de criminalidade. É uma ação ilegal contra os membros individuais da AshleyMadison.com, bem como quaisquer pessoas livres que optam por se envolver em atividades totalmente legais online”, disse a empresa em um comunicado.
“O criminoso, ou criminosos, envolvido neste ato se apontou como juiz moral, jurado e carrasco, se achando apto para impor sua noção pessoal de virtude em toda a sociedade. Não vamos ficar de braços cruzados e permitir que estes ladrões forcem sua ideologia pessoal sobre os cidadãos de todo o mundo”, acrescenta a empresa.
[…] Mesmo assim, as autoridades continuam com a versão de que os vilões do caso são os hackers. […]