Site de encontros extraconjugais Ashley Madison tem novas falhas de segurança

Um ano e meio depois de protagonizar um dos maiores vazamentos de informações pessoais da internet, o Ashley Madison está de volta às páginas dos noticiários de tecnologia da informação. Desta vez, o problema são duas falhas de segurança graves que podem expor os usuários de maneiras que, com certeza, eles gostariam de evitar.

Localizadas no sistema de galerias de fotos do serviço, ambas são fruto da falta de cuidado dos desenvolvedores do serviço, provavelmente. Na plataforma, os usuários contam com duas categorias de imagens, públicas e privadas, sendo que a segunda somente pode ser acessada com o envio de uma chave de segurança diretamente para outro usuário.

O problema é que, ativada automaticamente no momento da criação de uma conta no Ashley Madison, está uma opção na qual as credenciais são trocadas automaticamente entre os usuários, significando que, quem as recebe também compartilha as próprias com o “contatinho” em questão, algo que, nem sempre, é o desejo.

O processo acontece não apenas de maneira automática, mas também sem a anuência dos usuários, que muitas vezes só ficavam sabendo que suas imagens privadas estavam acessíveis quando recebiam comentários ou elogios sobre elas. Nos termos de uso ou nas telas de configuração iniciais não existem informações sobre esse recurso, o que leva muita gente a simplesmente nem saber que ele existe.

Em uma segunda brecha, todas as imagens podem ser vistas publicamente, e por qualquer pessoa, mesmo que elas não tenham conta no Ashley Madison. Enquanto o acesso aos álbuns privados só é permitido por meio da utilização de uma chave privada, as fotos, em si, são públicas, podendo ser visualizadas por qualquer um que possua a URL.

A Kromtech Security, responsável pela descoberta da falha, entretanto, aponta que os endereços são longos e complexos, o que dificultaria muito um trabalho de força bruta para localização. Entretanto, qualquer usuário cadastrado no Ashley Madison poderia, simplesmente, copiar a URL pelo navegador e compartilhá-la livremente na rede, para quem quisesse ver, sem empecilho algum.

Em um cenário imaginado pelos especialistas de segurança, por exemplo, alguém mal-intencionado poderia criar um perfil falso, com direito a imagens explícitas e tudo, enviando chaves aleatoriamente para outros usuários – algo que poderia ser feito até mesmo em massa. Ao receberem, os usuários reais teriam suas credenciais compartilhadas automaticamente, o que levaria à obtenção indesejada de “nudes”, que poderiam ser usados em extorsões ou vazamentos.

Quando informado sobre a falha, o Ashley Madison disse que sua empresa-mãe, a Avid Life Media, não enxerga o compartilhamento automático de credenciais como um problema, mas sim uma função desenvolvida para funcionar exatamente desta maneira. Entretanto, para conter a possibilidade de ataques como os exemplificados, está impondo um limite diário de envio de chaves entre usuários.

Além disso, o site afirma que seus sistemas são seguros, tornando anônimos seus usuários, algo que também é feito por eles por meio de nomes de usuário fantasia. Entretanto, para os especialistas, fica fácil remover essa barreira quando, por exemplo, tatuagens podem aparecer no corpo dos retratados, imagens domésticas ajudam a reconhecer o ambiente e, acima de tudo, os usuários foram revelados nos vazamentos de 2015. Para criminosos com algum conhecimento, o cruzamento dessas informações é tarefa simples e, em muitos casos, bastante lucrativa.

Fonte: Gizmodo