La empresa canadiense que administra Ashley Madison lo deja claro en sus condiciones de uso: la empresa no puede asegurar al 100% los datos de sus clientes. En su punto 14 la empresa explica que no puede garantizar que el servicio sea “seguro” ni tampoco que “estará libre de errores”. Incluso la empresa deja un poco más adelante que puede compartir los datos de sus clientes con otras empresas: “[no garantizamos] que la información que usted proporcione o que nosotros recopilemos no será divulgada a terceros”.
En realidad todo el punto 14 epígrafe B es una oda a la desprotección del usuario en una empresa que no puede asegurar nada de lo que intenta vender.
El portal para casados infieles Ashley Madison fue 'hackeado' hace un mes por un grupo llamado “Impact Team”. Este grupo pedía que la empresa de esta red social, Avid Life Media, cerrase el sitio junto a otros lugares similares de la empresa canadiense como Cougar Life enfocado a mujeres maduras o Established Men para hombres en busca de mujeres a las que mantener. Esta semana se han publicado los datos personales de clientes, incluyendo nombres, teléfonos, correos y datos bancarios.
El 17 de agosto el grupo lanzó un torrent con 9.7GB de supuestos datos de clientes de esta red social, diseñada especialmente para que personas en pareja estable puedan tener relaciones con otras personas. El sitio se vende a los usuarios como un lugar seguro donde poner información personal y tener relaciones, a pesar de que en la letra pequeña de sus condiciones de servicio la empresa no garantiza que protegerá los datos de sus clientes.
Aunque Avid Life Media publicó un comunicado acerca de esta última filtración no ha sido hasta hoy cuando se ha confirmado que parte de los datos son de usuarios reales. Según la agencia Reuters el FBI junto a los cuerpos de seguridad de Ontario y Toronto, además del cuerpo de la Policía Montada de Canadá, ya están investigando la filtración.
No se conoce la identidad del denominado Impact Team. Aunque existen rumores que implican a extrabajadores de la empresa, esto no se ha confirmado.
La realidad es que la mayoría de empresas de contactos personales de este tipo tienen unas declaraciones de privacidad muy similares. Por ejemplo la aplicación Tinder explica en sus declaraciones de privacidad que toman medidas de seguridad para salvaguardar la información personal ante el acceso no autorizado, pero “ningún sistema es completamente seguro.
El grupo Meetic tiene una declaración de privacidad similares: “el usuario […] reconoce que las características y las limitaciones de Internet no permiten garantizar la seguridad, la disponibilidad ni la integridad de las transmisiones de datos a través de Internet”.
El portal de contactos español Badoo también tiene mantiene una información similar a lo que recopilación de datos se refiere, en concreto cuando los datos de los usuarios ya están su servicio, Badoo aclara: “Una vez hayamos recibido tus datos, disponemos de una serie de funciones y medidas de seguridad para tratar de evitar el acceso no autorizado a ellos”.
Ninguna empresa puede garantizar que los datos personales estén a salvo de ataques.
“¡Se acabó el tiempo!”
Fig. 1: Mensaje de Impact Team tras cumplir un mes de sus demandas
El mensaje de Impact Team titulado “Time’s Up!” (“¡Se acabó el tiempo!”) ha sido publicado en varios sitios, originalmente en páginas web en la red segura Tor, pero también en otros lugares como Reddit o 4Chan. En el mensaje de los supuestos perpetradores del robo de información personal comentan que tras no cumplir sus demandas en los 30 días que les dieron de límite para cerrar sus sitios, la información ahora es pública, disponible en torrents. Ya existen varios buscadores para comprobar si un correo electrónico está en la base de datos de Ashley Madison como ashleymadisonleakeddata.com o ashley.cynic.al.
Este grupo intenta explicar este robo de información ante la supuesto “fraude, engaño y la estupidez de ALM y de sus miembros”.
Durante 2013 demandaron a Ashley Madison por una supuesta estafa al contratar a personas con capacidad de escribir en varios idiomas y mantener perfiles falsos y así atraer a más hombres (su perfil mayoritario) para que accedan y sigan pagando por el servicio.
Fig. 2: Captura de pantalla de los archivos presentes en el torrent filtrado
El mismo mensaje indica a las personas que puedan estar buscando a sus parejas que tengan en cuenta que “el sitio es una estafa con miles de perfiles de mujeres falsos”.
¿Son los datos verdaderos? Por ahora no hay forma de decir a ciencia cierta que todos los datos publicados en este enorme fichero son reales, aunque algunas personas registradas en el sitio han empezado comentar que sus correos aparecen en el listado publicado.
El experto en seguridad Brian Krebs ha publicado en su blog que el anterior CTO de la empresa, Raja Bhatia, empezó a colaborar de nuevo tras las primeras noticias de que sus sistemas habían sido comprometidos. Otras supuestas filtraciones eran falsas, pero en esta se ha comprobado que hasta las cuentas públicas en Bugmenot están presentes.
Per Thorsheim, otro experto en seguridad independiente también ha corroborado que existen cuentas suyas de investigación presentes en la base de datos. El blogger de Gawker Sam Biddle también ha confirmado que el correo que usó para investigar el sitio durante 2012 también está presente en la filtración.
Es importante recalcar que para registrarse en Ashley Madison no había que confirmar la cuenta de correo electrónico, por lo que cualquier persona podría registrar a otra sin necesidad de hacer una segunda comprobación de identidad.
Entre los archivos también se incluye información de la empresa como documentos internos, planos de sus oficinas, archivos Excel con cuentas de Paypal y sus respectivas contraseñas, datos financieros e incluso información del propietario de Avid Life Media, Noel Biderman.
eldiario.es ha podido revisar algunos de los archivos filtrados y ha encontrado usuarios falsos o que parecen haber sido registrados bajo correos de otras personas.
Varias listas publicadas muestran una gran cantidad de correos electrónicos que por su dominio (.va) pueden parecen del Vaticano, como han publicado varios medios de comunicación internacionales para señalar una contradicción moral. Sin embargo, según ha podido comprobar eldiario.es, la mayoría de estos correos no pertenecen al Vaticano sino a empresas u organismos oficiales que cuentan con esas siglas (VA) o a correos relacionados al estado de Virginia, en Estados Unidos.
Foto: Cristian V.
No garantizamos lo siguiente: (a) que nuestro servicio cumplirá con sus requisitos; (b) que nuestro servicio no sufrirá interrupciones, será oportuno, seguro y estará libre de errores; (c) que la información que obtenga en nuestro servicio será precisa o confiable; (d) que la calidad o fiabilidad de nuestros productos, servicios, datos u otros materiales que usted compre u obtenga a través de nuestro servicio estará a la altura de sus expectativas; (e) que la información que usted proporcione o que nosotros recopilemos no será divulgada a terceros; (f) que los perfiles de nuestro sitio son precisos, actualizados o auténticos; (g) que los materiales o archivos que descargue de internet estarán libres de virus, gusanos, troyanos u otros códigos que puedan producir daños; (h) que otras personas no utilizarán su información confidencial de manera no autorizada; o (i) que los errores en datos o software serán corregidos.
No somos responsables de ningún inconveniente o dificultad técnica de redes o líneas telefónicas, sistemas de computadoras en línea, servidores o proveedores, equipos de computación, software, fallas de correos electrónicos/chats o jugadores debido a problemas técnicos o congestión de tráfico en internet o en el sitio web, o una combinación de estos, incluso daños a computadoras de usuarios u otras personas que se relacionen con su participación en nuestro sitio o en el servicio, o con la descarga de materiales de estos. Bajo ninguna circunstancia seremos responsables nosotros o alguna de nuestras afiliadas, publicistas, promotores o socios de distribución por daños o perjuicios, que incluyen lesiones personales o muerte, que resulten del uso que las personas hagan de nuestro sitio o del servicio, de contenidos publicados en nuestro sitio o transmitidos a los usuarios, de los productos o servicios brindados por terceros o de cualquier comportamiento o interacción entre usuarios de nuestro sitio, ya sea en línea o fuera de línea.