Arquivo para a tag: ashley madison

A segurança do Ashley Madison era simplesmente ridícula

by

ashley madison

O caso Ashley Madison foi um dos maiores escândalos de segurança cibernética de 2015, O grupo Impact Team roubou dados de 37 milhões de usuários do site, além de informações sobre sua instrutura interna e outros dados corporativos.

Foi um escândalo maiúsculo, e enquanto a Avid Life Meda (ALM) tenta recuperar o site, o caso segue sob investigação por vários órgãos diante do compromisso de privacidade com milhões de usuários que tiveram vazados dados pessoais, financeiros, e-mails e dados empresariais.

Agora, uma investigação conjunta realizada na Austrália e no Canadá mostra os aspectos negativos sobre a segurança do site.

 

Pega na mentira

Para começar, o Ashley Madison mentiu descaradamente sobre os milhões de homens e mulheres disponíveis para os adúlteros: eram apenas 12 mil mulheres reais para 37 milhões de usuários.

Além disso, a retenção dos dado pessoais depois que um usuário apagava sua conta chamou a atenção: a política em cobrar pela “completa eliminação de dados” que não era real, pois a empresa guardava os dados por um ano.

A falta de confirmação de endereços de e-mails e a falta de transparência sobre a forma que a empresa manipulava os dados foram outros destaques negativos da investigação.

 

Uma segurança de TI desastrosa

Sobre as práticas de segurança, eram simplesmente lamentáveis.

A Ashley Madison armazenava as senhas de VPN no Google Drive, tornando simples a missão do atacante, que podia ter esses dados invadindo a máquina de qualquer funcionário.

O sistema não contava com autenticação de múltiplos fatores nas suas redes privadas virtuais.

Uma vez o atacante dentro dela, ele encontraria algumas senhas armazenadas com texto sem formato, disponível em e-mails simples entre os funcionários e arquivos de texto dentro dos seus servidores.

As chaves de codificação também eram armazenadas como texto sem formato, como ALM. Até foi encontrada uma chave SSH desprotegida de senha, permitindo a um atacante se conectar com outros servidores.

O relatório está pendente de aprovação da FCC dos Estados Unidos, mas já é considerado uma aula sobre como uma empresa de internet não deve agir em termos éticos, legais e de segurança.

A ALM agora se chama Ruby Corp, e prometeu solucionar o desastre do Ashley Madison. O problema é recuperar a confiança dos usuários, algo que será muito complicado. Por mais que sexo na internet seja considerado algo muito valioso.

Para ler o relatório na íntegra, clique aqui.

Senhas usadas no Ashley Madison eram simplesmente ridículas

by

ashley-madison

A invasão do Ashley Madison, considerada a pior violação de dados da história da internet, segue dando o que falar. Depois da demissão do CEO e co-fundador Noel Biderman, uma investigação do Avast analisou a base de dados vazada para verificar as senhas utilizadas no serviço, e o resultado é bem claro: um grande desastre.

Apesar das críticas e denúncias ao Ashley Madison por não proteger os dados de seus usuários e independente de outras deficiências, o site utilizava codificação bcrypt para proteger as senhas dos seus clientes. Um modo que é seguro… se os usuários utilizarem senhas seguras.

Mas este não era o caso. O Avast foi capaz de decifrar as senhas mais fracas, onde um milhão dos 37 milhões de usuários registrados utilizavam senhas simplesmente ridículas e fáceis de serem decifradas.

Listamos os 20 piores resultados, que mostram a pouca proteção que os usuários tinham, levando em conta que os mesmos estavam em um serviço de traição (e ninguém quer ser descoberto nesse caso). O que torna (quase) pior é descobrir que uma grande parte de usuários utilizaram contas de e-mail corporativas para o registro no site, sem falar que o serviço contava com apenas 12 mil mulheres reais.

Fim dos dados grotescos. Lista a seguir:

 

1: 123456
2: password
3: 12345
4: 12345678
5: qwerty
6: pussy
7: secret
8: dragon
9: welcome
10: ginger
11: sparky
12: helpme
13: blowjob
14: nicole
15: justin
16: camaro
17: johnson
18: yamaha
19: midnight
20: chris

Apenas 12 mil mulheres reais no Ashley Madison. Valia mesmo a pena?

by

ashley-madison

O ataque ao Ashley Madison segue dando o que falar. Graças ao mesmo, foi descoberto que havia mais jogo sujo por parte do site para infiéis em relação aos perfis das mulheres reais.

O site contava com 37 milhões de usuários registrados, teoricamente repartidos entre 31.5 milhões de homens, e 5,5 milhões de mulheres. Mas isso, na teoria. A maioria dos perfis eram falsos, algo que ficava claro quando verificados os e-mails utilizados na criação das contas, mas isso não é tudo. A maioria dos IPs das contas criadas ficavam dentro da própria Ashley Madison.

Surpesos? Espere. Tem mais.

De todos os usuários reais, apenas 1.492 verificaram pelo menos uma vez as mensagens que haviam deixado, e apenas 2.400 chegaram a utilizar o sistema de chat integrado. E baseado nessas informações, diversas fontes concluíram que o número de mulheres reais cadastradas no Ashley Madison era de aproximadamente 12 mil, o que significa que milhões de homens contrataram um serviço com o objetivo de enganar suas parceiras, e no final, eles foram os enganados.

Será que valeu a pena?

Afinal de contas, todos entraram em um jogo de risco. Melhor seria investir em um código sporting bet e apostar em outras esferas da internet.

Via DvHardware

Caso Ashley Madison já gera os primeiros suicídios

by

ashley-madison

O caso Ashley Madison começa a ter tons dramáticos. O chefe da polícia de Toronto (Canadá) informou o suicídio de dois usuários do site, que estão vinculados diretamente com o hack e o vazamento dos seus dados.

Uma lista com dados pessoais de (pelo menos) 32 milhões dos 37 milhões de usuários registrados no portal apareceu primeiro na Deep Web, e depois, um arquivo com 9.7 GB de dados foi compartilhado via torrent. Mas além da moralidade de um site voltado à infidelidade, a informação vazada compromete usuários de todo o planeta, das mais diferentes condições sociais.

Alguns deles foram afetados pelo óbvio: a instabilidade de sua relação conjugal. Já outros pela utilização dos e-mails corporativos nos registros (alguns deles governamentais) e outros por serem personalidades mais ou menos conhecidas pelo grande público.

Não é estranho que campanhas de extorsão (algumas falsas) começaram a pipocar na internet estendendo a propagação de malwares, na tentativa de capitalizar em cima do que já é considerada a pior violação de dados da história da internet.

Depois da coletiva de imprensa do chefe de polícia confirmando a associação do vazamento com os suicídios, o site Ashley Madison e sua matriz anunciaram uma recompensa de 500 mil dólares canadenses para quem facilitar a identificação dos responsáveis pelo ataque. Afinal de contas, os danos para a Ashley Madison são enormes, com diversos processos em curso contra as duas empresas canadenses responsáveis pelo site, a Avid Dating Life e a Avid Media, por não impedir o roubo dos dados pessoais.

A análise dos dados corporativos da Ashley Madison vazada revela que o CTO da empresa poderia ter hackeado um site concorrente (Nerve.com), aproveitando uma vulnerabilidade e acessando a sua base de dados. E o vazamento da Ashley Madison seria assim uma ‘retaliação’ à esse ataque.

Tudo indica que essa polêmica ainda vai longe, com implicações de todos os níveis, incluindo o negócio de outros sites similares e/ou relacionados com a pornografia, levando em conta que mais de 10% do tráfego total da internet vem do entretenimento adulto.

Via New York Times