Ashley Madison teria omitido descoberta de falha de segurança em serviço rival

Por Redação | 25.08.2015 às 10:04
photo_camera Divulgação

As últimas semanas não foram fáceis para os usuários do Ashley Madison. Desde o final do mês passado, hackers ameaçaram divulgar centenas de dados de milhões de pessoas que utilizam o site de traições - e cumpriram a promessa. Mas um novo vazamento indica que o serviço, hoje vítima de cibercriminosos, estaria por trás de uma invasão a outro site de namoros extraconjugais.

Em novembro de 2012, Raja Bhatia, ex-CTO da Avid Life Media, empresa responsável pela plataforma, teria trocado e-mails com Noel Biderman, atual CEO da companhia, sobre ter descoberto uma falha de segurança na página nerve.com, um site de origem norte-americana dedicado à discussão de assuntos ligados a sexo, cultura e relacionamentos. Na época, o serviço fazia os primeiros experimentos com uma seção dedicada a encontros fora do casamento, semelhante à proposta do Ashley Madison.

De acordo com informações da revista Wired, no mesmo período Bhatia comentou com Biderman que encontrou uma maneira de baixar e manipular toda a base de dados do concorrente, indicando que esses conteúdos poderiam ser usados em benefício do próprio serviço, no caso o Ashley Madison. Não foi divulgado se Bhatia, sabendo dessa brecha de segurança, teria ordenado um ataque à empresa rival.

"Eles (a equipe do nerve.com) fizeram um trabalho muito ruim na construção de sua plataforma. Tenho toda a base de usuários deles e posso transformar qualquer conta gratuita em paga - e vice-versa -, mandar mensagens entre usuários e verificar estatísticas não lidas", disse Bhatia no e-mail. Na data em que enviou essa mensagem, o executivo já não fazia mais parte do grupo Avid Life Media, uma vez que ele deixou o cargo de diretor de tecnologia em 2010.

Outro detalhe vazado pelos hackers é que, seis meses após a descoberta da falha, em maio de 2013, Biderman discutiu com Bhatia sobre a possibilidade de divulgar a vulnerabilidade ao nerve.com, mas aparentemente não houve resposta se isso de fato aconteceu. Os executivos também comentaram sobre uma possível compra da plataforma rival, que também nunca foi concretizada.

Procurados pela reportagem, Biderman e Bhatia não comentaram o assunto. Sean Mills, ex-CEO do nerve.com e atualmente chefe de conteúdo original do Snapchat, também não respondeu.

Entendendo o caso

A invasão ao Ashley Madison veio a público no final de julho, quando hackers de um grupo chamado The Impact Team afirmaram ter invadido o serviço e ameaçaram publicar os dados das 37 milhões de pessoas cadastradas na plataforma. Para não divulgar as informações, os invasores fizeram algumas exigências, entre elas o fechamento do Ashley Madison e de um outro site que faz parte do Avid Life Media, o Established Men, que permite marcar encontros sexuais entre mulheres jovens e homens bem-sucedidos.

Os hackers também destacaram que o Ashley Madison, além de promover encontros extraconjugais, adota práticas ilegais com seus clientes. Uma delas é uma suposta cobrança de US$ 19 para que o usuário apague todos os seus dados dos servidores da empresa, só que essa remoção não acontecia de fato. Outro ponto defendido pelo grupo de invasores é que vários perfis femininos na plataforma são falsos e feitos especificamente para enganar os homens, passando a impressão de que muitas mulheres estão cadastradas no site.

Ainda no final do mês passado, a empresa confirmou o ataque e afirmou ter melhorado a segurança do serviço, mas não desativou nenhuma plataforma. Por conta disso, desde a última semana, os hackers divulgaram o equivalente a 30 GB de dados dos milhões de internautas que acessam o site. Segundo os criminosos, o grupo tem em mãos um total de 300 GB de conteúdo do site, incluindo fotos íntimas, documentos internos de funcionários, mensagens privadas e e-mails.

Não foram identificados os autores do ataque, mas Biderman disse suspeitar que os dados teriam sido obtidos por alguém que já trabalhou de forma terceirizada na Avid Life Media. As investigações continuam no Canadá, e a companhia anunciou que está oferecendo US$ 500 mil como recompensa para qualquer pessoa que tenha informações que levem a polícia a identificar os responsáveis.

Fonte: Wired