miércoles, agosto 19, 2015

Los clientes de Ashley Madison ya han sido filtrados. Averigua si te han sido infiel fácilmente.

A finales de Julio saltó el escándalo del robo de la base de datos de todos los clientes de la web de contactos de Ashley Madison. Dicha empresa había sido bastante polémica debido a sus impactantes campañas de marketing en la que mezclaba a personajes famosos, incluidos presidentes y caras conocidas de todos los países. Cuando salto la noticia del robo de los datos, los representantes de la empresa dijeron que había sido personal interno de su compañía descontento y que estaban sufriendo una extorsión por su parte que no iban a aceptar.

Figura 1: Averigua si te han sido infiel.

El problema fue aún mayor cuando se supo que una gran parte del negocio de Ashley Madison venía de usuarios que deseaban borrar su datos, pero esto tenía un coste de unas 20 Libras. Aunque así se hiciera, es decir, aunque el cliente de Ashley Madison pagara esa cantidad para borrar sus datos, los datos de los pagos - generalmente datos de tarjetas de crédito - seguían en el sistema por lo que se podía seguir sabiendo que esa persona era cliente del servicio.

Figura 3: Cuentas con dominios del Vaticano (Hay más de 1.300)

Pues bien, ayer se filtró definitivamente la base de datos de casi 10 GB de información con datos de todos los clientes. En total más de 30 Millones de registros de clientes que están circulando por la red para que cualquiera los consulte. En Pastebin es fácil localizar listas de correos electrónicos de clientes del Gobierno de EEUU, del Gobierno del Reino Unido, del Vaticano, de Universidades, etcétera.

Figura 4: Clientes del gobierno de UK filtrados en el dump de Ashley Madison

Y como era de esperar, ya está en Have I been Pwned, convirtiéndose en el Segundo Leak de Usuarios y Contraseñas más grande de la historia reciente.

¿Te engaña tu pareja?

El que estén en Have I been Pwned abre una puerta muy interesante para que cualquiera pueda saber si su pareja le engaña. Para eso, al igual que os dije en el caso del hackeo de Adult Friend Finder, basta con probar todos los correos electrónicos que tengas de tu pareja en la web de Have I been Pwned. Si sale en rojo en el hackeo de Ashley Madison o Adult Friend Finder, entonces... es más que probable que sí.

Figura 5: Un correo electrónico que aparece en la base de datos de Ashley Madison

La pregunta que se hace mucha gente es si estos datos son de fiar o no. En mi opinión, si son datos de una personalidad relevante a la que se le quiere hacer una campaña de descrédito habría que ponerlos en cuarentena, pero si son datos de tu pareja... me extraña mucho que sean falsos.

Figura 6: Segunda brecha más grande de robo de identidades

Si eras cliente de esta web, ten claro que las tarjetas de crédito pueden estar expuestas, así como el resto de los datos que diste a este servicio, por lo que iría tomando precauciones, cancelando la tarjeta y revisando qué información puede acabar haciéndote daño.

Saludos Malignos!

PS: Probar con todos los correos electrónicos de tus contactos, conocidos y amigos es de nota.

ACTUALIZACIÓN: Have I been Pwned? ha dejado de responder a los correos electrónicos de Ashley Madison si no se ha verificado que la persona que consulta es el dueño de ese correo electrónico, así que ahora solo se puede comprobar un correo accediendo a la base de datos completa.

16 comentarios:

  1. He utilizado uno de mi emails y ha salido que estaba...cuando nunca he estado, no es fiable.

    ResponderEliminar
  2. Tarde o temprano tenía que pasar... Era un objetivo muy goloso XD

    ResponderEliminar
  3. Es curioso porque esta web existe desde hace mucho tiempo, el año 2002 (ver archive.org) y con este leak, se pudiera dar el caso de un/a hijo/a de ahora unos 13 años, que busque el mail de su madre y descubra por las fechas del registro, que tal vez su padre no es la persona que cree o al revés.
    Estas cosas tienen un montón de efectos colaterales. Es el peligro de la información sensible. No hay lugar seguro para ella.

    ResponderEliminar
  4. David, entonces no "pongas" información sensible en internet, claramente el lugar menos seguro para este fin. Convengamos que nadie te obliga a hacerlo.

    ResponderEliminar
    Respuestas
    1. Eso sería como decirle a alguien que no salga con dinero y así no le robarán. Culpabilización de la víctima y cultura del miedo. Es responsabilidad de las webs que almacenan datos hacerlo de forma fiable y segura. ¿Por qué si nos fiamos de la banca electrónica o de Spotify no debemos hacerlo de otros servicios?

      Eliminar
  5. Totalmente de acuerdo con JuanZic.
    P.D: Yo tambien probé con uno de mis correos y me dio en rojo .-.

    ResponderEliminar
  6. El problema de esto es ejemplo si alguien se registro y nunca uso la página ejemplo muchas apk y app dan premios por registrar tus datos en una web

    ResponderEliminar
  7. Es estupendo, con las comprobaciones alguien va a recoger cantidad de emails de los que sabe seguro que están activos y que ese email tiene una pareja. Además podrán asociar ese email a una huella digital, la de tu conexión... y todo for free porque tampoco estamos seguros que esa lista sea buena y que los que la exponen lo hacen todo por "LA LIBERTAD Y LA VERDAD"...

    Como estrategia está bien pensada, desde luego.

    ResponderEliminar
  8. Yo tuve que escribir a esta gentuza por no tener una política de doble opt-in como $DEITY manda. Un pavo de por ahí (el nombre de usuario sonaba como del sureste asiático) se registró con una dirección de correo mía y directamente me llegó la confirmación del alta, sin paso previo tipo "por favor, haga clic en el siguiente enlace o vaya a tal sitio e introduzca el código de confirmación AAAAAA". Después de hacerme con el control de la cuenta falsa mediante la recuperación de la contraseña y querer eliminarla, no sin antes desactivar notificaciones varias y reemplazar datos personales (reales o no) por otros inventados, les llamé de todo al enterarme de la "extorsión" del borrado definitivo.

    ResponderEliminar
  9. Pues ya no se puede buscar en "Have I been pwned?"... Han puesto esto:
    "Important notice regarding the Ashley Madison data: only those who have subscribed for notifications and verified their email address will be able to discover if they were in the breach due to the sensitivity of the data. You can read more about the rationale of this approach here."

    ResponderEliminar
  10. Hay que ser muuuuu tonto para registrarte con el email que sabe tu pareja en un sitio de estos. Como si no hubiera sitios que te da email gratis.

    ResponderEliminar
  11. sólo como comentario, el 100% de los usuarios de esa bbdd son hombres.

    ResponderEliminar
  12. La mitad de las cuentas son falsas, si es que este es el modelo de negocio de este tipo de paginas de contactos, sino buscad las opiniones sobre este tipo de lugares.

    ResponderEliminar