ashley madison

O caso Ashley Madison foi um dos maiores escândalos de segurança cibernética de 2015, O grupo Impact Team roubou dados de 37 milhões de usuários do site, além de informações sobre sua instrutura interna e outros dados corporativos.

Foi um escândalo maiúsculo, e enquanto a Avid Life Meda (ALM) tenta recuperar o site, o caso segue sob investigação por vários órgãos diante do compromisso de privacidade com milhões de usuários que tiveram vazados dados pessoais, financeiros, e-mails e dados empresariais.

Agora, uma investigação conjunta realizada na Austrália e no Canadá mostra os aspectos negativos sobre a segurança do site.

 

Pega na mentira

Para começar, o Ashley Madison mentiu descaradamente sobre os milhões de homens e mulheres disponíveis para os adúlteros: eram apenas 12 mil mulheres reais para 37 milhões de usuários.

Além disso, a retenção dos dado pessoais depois que um usuário apagava sua conta chamou a atenção: a política em cobrar pela “completa eliminação de dados” que não era real, pois a empresa guardava os dados por um ano.

A falta de confirmação de endereços de e-mails e a falta de transparência sobre a forma que a empresa manipulava os dados foram outros destaques negativos da investigação.

 

Uma segurança de TI desastrosa

Sobre as práticas de segurança, eram simplesmente lamentáveis.

A Ashley Madison armazenava as senhas de VPN no Google Drive, tornando simples a missão do atacante, que podia ter esses dados invadindo a máquina de qualquer funcionário.

O sistema não contava com autenticação de múltiplos fatores nas suas redes privadas virtuais.

Uma vez o atacante dentro dela, ele encontraria algumas senhas armazenadas com texto sem formato, disponível em e-mails simples entre os funcionários e arquivos de texto dentro dos seus servidores.

As chaves de codificação também eram armazenadas como texto sem formato, como ALM. Até foi encontrada uma chave SSH desprotegida de senha, permitindo a um atacante se conectar com outros servidores.

O relatório está pendente de aprovação da FCC dos Estados Unidos, mas já é considerado uma aula sobre como uma empresa de internet não deve agir em termos éticos, legais e de segurança.

A ALM agora se chama Ruby Corp, e prometeu solucionar o desastre do Ashley Madison. O problema é recuperar a confiança dos usuários, algo que será muito complicado. Por mais que sexo na internet seja considerado algo muito valioso.

Para ler o relatório na íntegra, clique aqui.