lunes, agosto 24, 2015

Ashley Madison Hack: Suicidios, Mentiras y Negocios Túrbios

Tras la filtración de algo más de 30 Millones de usuarios en la base de datos de Ashley Madison, la continuación ha sido un auténtico terremoto mediático y de sucesos que parecen no parar. Todo el mundo está agitado con lo que de ahí sale y ya hemos visto hasta un posible suicidio atribuido *posiblemente* como consecuencia de esta filtración de datos

Figura 1: Ashely Madison Hack - Suicidios, Mentiras y Negocios Turbios

La historia aún está lejos de terminar. Y estas son algunas informaciones de lo que ha pasado por ahora, y que probablemente seguirá pasando un tiempo.

La segunda filtración de datos

Cuando se produjo la primera filtración, en muchos sitios se negó que esa fuera la base de datos completa y que los datos fueran originales. De hecho, desde Ashley Madison se negaba su autenticidad, pero una segunda filtración con los datos completos de los usuarios parece que ha dejado en evidencia que los datos eran auténticos.


Figura 2: Mensaje de Impact Team para Ashley Madison

Mucha gente dice estar ahí sin haberse registrado, incluso algún político como Damian Green, ministro de la policía en Reino Unido que ha aparecido en esa base datos y lo niega, pero también de personas normales. Lo cierto es que las personalidades públicas tienen más probabilidades de haber sido incluidas en esa base de datos, y se habla de que algunas cuentas de mujeres eran falsas, pero no creo que los que han liberado esa base de datos se hayan dedicado a buscar cuentas de tarjeta de crédito de personas normales de a píe para introducirlas. No olvidemos que, ahora, se han liberado los datos de las tarjetas de crédito.

Figura 3: Dump de datos publicado en la segunda ola

Los miembros del infame grupo Impact Team han negado ser trabajadores internos o haber trabajado internamente alguna vez - aunque todas las investigaciones apuntan hacia esa posibilidad - y ello dicen que llevan mucho tiempo con acceso completo a la red desde fuera, que era muy sencillo entrar en sus servidores - tan fácil como que hubieran detectado un bug sin parchear de los muchos que hemos visto en estos dos últimos años - antes de que los equipos de seguridad lo hubieran arreglado, como HeartBleed, ShellShock, PHP en modo CGI, etc... o un simple bug en el código de la aplicación, que no tenían Bug Bounty.

Las consecuencias inmediatas

De hecho, muchas son las personas que están buscando cómo salir de esa base de datos - como si una vez ya publicada en Internet hubiera alguna posibilidad de ello - tal y como contaba Kevin Mitnick con algunos de los correo electrónicos que estaba recibiendo al más puro estilo de #BuscanHakers -.


Figura 4: Mensaje recibido por Kevin Mitnick para borrar datos


Tal es el revuelo que esto ha creado que Have I Been Pwned? tuvo que cerrar las consultas de correos electrónicos NO registrados en su servicio, es decir,  que no estuvieran verificados. Algo que no habían hecho antes con el caso de Adult Friend Finder. Tal vez porque el tamaño de la base de datos es casi 10 veces mayor, o tal vez porque el servicio de Ashley Madison estaba muy metido en la sociedad anglosajona.

Figura 5: Nota sobre los datos de Ashley Madison en Have I Been Pwned?

Una cosa importante es, que cuando aparece el correo en la base de datos de Ashley Madison no quiere decir que alguien haya hecho uso de los servicios, sino que simplemente se ha registrado - esto es lo que se podía consultar en Have I Been Pwned? -. Ahora, con la nueva filtración con los datos de las tarjetas de crédito, la cosa cambia.

Suicidios y Extorsiones

Una de las temidas consecuencias, el que algo de esto pudiera llevar al suicidio a una persona, se ha publicado ya en la red. Un funcionario de la ciudad de San Antonio en USA parece que ha podido suicidarse debido a que su correo electrónico aparecía en la base de datos.

Figura 6: El suicidio de una persona relacionado con el leak de Ashley Madison

Y es que la base de datos con todos los correos electrónicos está siendo ya usada en todo tipo de campañas de spam, e incluso intentando aprovechar para hacer extorsiones u ofrecer servicios milagrosos como borrar los datos de ella.

Figura 7: Campaña de spam de una empresa.
El mensaje gancho "Estos datos podrían arruinar tu vida"

Pero también al contrario, hay personas que se han hecho con la base de datos y ofrecen a cualquiera la posibilidad de consultarla por algo de dinero. Todo un negocio a costa de justo lo que prometía, la privacidad de los usuarios.

Saludos Malignos!

5 comentarios:

Anónimo dijo...

Si consultas en una de esas paginas para saber si tu correo esta registrado, ¿te podrían incluir en la lista de usuarios Madison?

Anónimo dijo...

no, solamente por ser una cantidad muy grande de información have i Been pwned te pide que confirmes si realmente tu eres la persona del correo

Ivan de la Jara dijo...

La privacidad es lo que buscan los perpetradores de delitos y debe ser erradicada... Eso si, nada de que la policía acceda y el resto de gente no porque entonces es mafia, ni libertad. El mundo se arreglaría a pasos agigantados si esto se llevase a cabo...

Anónimo dijo...

Ya estamos con "desde Ashley Madison se negaba su autenticidad"...

Inseguro y Navegando dijo...

Lo peor en estos casos es gritar; Que no cunda el pánico!
Por que sera lo primero que ocurra >.<

PD: El temita se las trae...

Salu2!

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares