Ashley Madison pode ter provado do seu próprio "veneno"

A notícia que o CEO da Avid Life Media, proprietária do site de encontros extra-conjugais Ashley Madison, encorajou no passado o seu CTO a violar a segurança do site concorrente Nerve.com está a ser avançada pelo site Motherboard com base no acesso a e-mails roubados pelos hackers que se auto-intitulam Impact Team.

De acordo com estes e-mails, a falha de segurança no site rival foi descoberta casualmente no final de 2012 por um colaborador de IT do Ashley Madison e comunicada ao CTO da empresa, Raja Bhatia, que de imediato fez um e-mail para o seu CEO, Noel Biderman , cujo conteúdo alegadamente é o seguinte:

     "- They did a poor job of auditing their site. Have access to all their user records including emails, encrypted password, if they purchased or not, who they talked to, what their search preferences are, last login, fraud risk profile, who they blocked or are blocked from, photo uploads, etc."

A resposta do responsável máximo da Ashley Madison acaba por ser a esperada para alguém que gere um negócio que se baseia em ajudar os seus clientes a quebrarem as regras:

     " - Holy moly..I would take the emails..."

Num entanto, o CTO foi mais consciencioso e respeitador da legalidade do que o seu chefe e, de acordo com o site Motherboard, o responsável pelo IT acabou por não retirar dados do site concorrente, apesar de ter sido motivado a fazê-lo.

Acaba por não ser claro se o CEO foi procurar outro caminho para aceder ao concorrente , ou mesmo se este foi avisado para a sua vulnerabilidade na segurança.

Em resposta a esta notícia, o porta-voz da  Avid Life Media afirma que a empresa nunca procedeu de forma incorreta com o concorrente e que o texto agora revelado  foi retirado do seu contexto (em que contexto se pode mandar roubar dados ?).

Um recorde histórico

O volume de pessoas afetadas por este data breach é um recorde histórico para uma acção feita de uma única vez.
As primeiras informações adiatavam serem 32 milhões de registos completos, incluindo conteúdos de mensagens de utilizadores, mas são seguramente mais porque o site tem 36 milhões de registos, de acordo com o contador da sua home-page.
Os dados sobre cartões de crédito parecem estar fora desta fuga por serem processados por uma outra empresa especializada em transações, e é estimado que 30% dos utilizadores tenham pago para terem acesso a  funções "premium" no site.  

O facto de serem dados sobre uma atividade que as pessoas casadas gostariam de manter secreta, torna esta fuga de dados especialmente delicada.

A empresa oferece agora uma recompensa milionária de meio-milhão de dólares a quem revele dados sobre os piratas da Impact Team, isto quando já começam a chegar aos tribunais pedidos de indemnizações por parte de clientes cuja privacidade foi afetada ao ponto dos detalhes mais resguardados da vida íntima.

Existe também uma correlação não totalmente entendida entre dois suicídios que a polícia de Toronto (Canadá) suspeita estarem relacionados com a fuga de dados, mas na conferência de imprensa do passado sábado não detalharam a relação entre estas duas pessoas e os hackers.