Ashley Madison, la web de infieles que mintió a sus usuarios
Uno de los ‘hackeos’ más sonados de los últimos tiempos fue el de la web para infieles Ashley Madison en julio de 2015 que dejó al descubierto los datos personales de unos 37 millones de usuarios. Nada menos que 10GB de datos filtrados que sirvieron para desacreditar o, incluso, chantajear a los adúlteros.
A pesar de publicitarse como “100% discreta”, lo cierto es que la web afincada en Toronto dirigida a personas con pareja que buscaban cometer infidelidad estuvo muy lejos de hacer todo lo posible para proteger los datos personales de sus usuarios, sin cumplir ni con garantías ni con políticas básicas de seguridad. Así lo expone un informe realizado por autoridades de Canadá y Australia.
Tanto la Office of the Privacy Commissioner (COPC) de Canadá como la Office of the Australian Information Commissioner han iniciado sendas investigaciones para averiguar qué sucedió y las conclusiones no pueden ser más inquietantes.
Los informes de ambas autoridades revelan que Ashley Madison violó las leyes de privacidad de Canadá (Personal Information Protection and Electronic Documents Act (PIPEDA) y Australia (Privacy Act) debido a la mínima supervisión que se realizaba de los datos cuando se suscribían al servicio.
En España, a pesar de que según los datos filtrados existía más de un millón de usuarios registrados –el 90% de ellos hombres- no se ha hecho pública ninguna investigación de este tipo.
Daniel Therrien, Comisario de Privacidad de Canadá, afirma que “las brechas de seguridad son el principal riesgo para una organización cuyo modelo de negocio se base en la recopilación y uso de información personal”. En ese sentido, Therrien destaca que “donde los datos son especialmente sensibles y atractivos para los delincuentes, el riesgo es aún mayor”.
A la luz de este nuevo informe, poco importó eso a Ashley Madison y, en ese sentido, el comisario canadiense señala que “manejar grandes volúmenes de datos de este tipo de información personal sin un plan de seguridad integral es inaceptable”.
La desfachatez de la web de contactos fue tal que, incluso, llegó a instalar un icono de seguridad falsa con el único propósito de tranquilar a sus suscriptores, concretamente, la medalla con la etiqueta ‘trusted security award’ que tras las brecha la compañía retiraría tras admitir que era de fabricación propia. A este respecto, Therrien afirma que "el uso de una marca de confianza de seguridad ficticia significa que se obtuvo el consentimiento de los usuarios de forma inadecuada".
Su homólogo australiano, Timothy Pilgrim, sostiene que “el incidente demuestra cómo la aproximación va más allá de cuestiones TI (Tecnologías de la Información) y debe incluir formación, políticas, documentación, supervisión y unas líneas claras de autoridad para tomar decisiones sobre la seguridad de la información personal”.
El informe indica que la implantación y ejecución de múltiples protecciones de seguridad de la información se quedaron muy cortas. Entre las diversas deficiencias destaca los procesos de autenticación inadecuados para aquellos usuarios que accedían al sistema de manera remota.
Aunque Ashley Madison contaba con encriptación en todas sus comunicaciones web entre la compañía y los usuarios, el almacenamiento de las claves de encriptación fue negligente. Las claves se guardaban como texto plano claramente identificable en los sistemas de la empresa, lo que permitía descifrar fácilmente la información protegida. Lo mismo sucedía con las instancias de almacenamiento de contraseñas, perfectamente identificables como texto plano incluso, en correos electrónicos.
Paralelamente, las prácticas de clave y contraseña eran muy pobres, hasta el punto de que ‘el secreto compartido’, como lo define el informe, para el acceso remoto al servidor estaba disponible en el Google Drive de la firma, lo que significa que cualquiera con acceso al Drive de un empleado desde cualquier ordenador, en cualquier lugar, podría haber descubierto todo.
Por otro lado, los riesgos para los usuarios no sólo existían mientras éstos estaban suscritos... también cuando se daban de baja. El informe realizado pone de manifiesto cómo tanto la retención como el borrado de las cuentas que se daban de baja eran inadecuados.
El despropósito de seguridad fue tal que, incluso, la base de datos de Ashley Madison contenía direcciones de correo electrónico de personas que no llegaron a firmar nunca con la web, lo que pudo perjudicar gravemente su reputación al relacionarse su nombre con una web de estas características.
La propietaria de Ashley Madison, Avid Life Media (recientemente rebautizada como Ruby Corp.), no ha tardado en asegurar que seguirá las conclusiones del informe para mejorar el modo en que administra los datos de sus usuarios.
A pesar de publicitarse como “100% discreta”, lo cierto es que la web afincada en Toronto dirigida a personas con pareja que buscaban cometer infidelidad estuvo muy lejos de hacer todo lo posible para proteger los datos personales de sus usuarios, sin cumplir ni con garantías ni con políticas básicas de seguridad. Así lo expone un informe realizado por autoridades de Canadá y Australia.
Tanto la Office of the Privacy Commissioner (COPC) de Canadá como la Office of the Australian Information Commissioner han iniciado sendas investigaciones para averiguar qué sucedió y las conclusiones no pueden ser más inquietantes.
Los informes de ambas autoridades revelan que Ashley Madison violó las leyes de privacidad de Canadá (Personal Information Protection and Electronic Documents Act (PIPEDA) y Australia (Privacy Act) debido a la mínima supervisión que se realizaba de los datos cuando se suscribían al servicio.
En España, a pesar de que según los datos filtrados existía más de un millón de usuarios registrados –el 90% de ellos hombres- no se ha hecho pública ninguna investigación de este tipo.
Daniel Therrien, Comisario de Privacidad de Canadá, afirma que “las brechas de seguridad son el principal riesgo para una organización cuyo modelo de negocio se base en la recopilación y uso de información personal”. En ese sentido, Therrien destaca que “donde los datos son especialmente sensibles y atractivos para los delincuentes, el riesgo es aún mayor”.
A la luz de este nuevo informe, poco importó eso a Ashley Madison y, en ese sentido, el comisario canadiense señala que “manejar grandes volúmenes de datos de este tipo de información personal sin un plan de seguridad integral es inaceptable”.
La desfachatez de la web de contactos fue tal que, incluso, llegó a instalar un icono de seguridad falsa con el único propósito de tranquilar a sus suscriptores, concretamente, la medalla con la etiqueta ‘trusted security award’ que tras las brecha la compañía retiraría tras admitir que era de fabricación propia. A este respecto, Therrien afirma que "el uso de una marca de confianza de seguridad ficticia significa que se obtuvo el consentimiento de los usuarios de forma inadecuada".
Su homólogo australiano, Timothy Pilgrim, sostiene que “el incidente demuestra cómo la aproximación va más allá de cuestiones TI (Tecnologías de la Información) y debe incluir formación, políticas, documentación, supervisión y unas líneas claras de autoridad para tomar decisiones sobre la seguridad de la información personal”.
El informe indica que la implantación y ejecución de múltiples protecciones de seguridad de la información se quedaron muy cortas. Entre las diversas deficiencias destaca los procesos de autenticación inadecuados para aquellos usuarios que accedían al sistema de manera remota.
Aunque Ashley Madison contaba con encriptación en todas sus comunicaciones web entre la compañía y los usuarios, el almacenamiento de las claves de encriptación fue negligente. Las claves se guardaban como texto plano claramente identificable en los sistemas de la empresa, lo que permitía descifrar fácilmente la información protegida. Lo mismo sucedía con las instancias de almacenamiento de contraseñas, perfectamente identificables como texto plano incluso, en correos electrónicos.
Paralelamente, las prácticas de clave y contraseña eran muy pobres, hasta el punto de que ‘el secreto compartido’, como lo define el informe, para el acceso remoto al servidor estaba disponible en el Google Drive de la firma, lo que significa que cualquiera con acceso al Drive de un empleado desde cualquier ordenador, en cualquier lugar, podría haber descubierto todo.
Por otro lado, los riesgos para los usuarios no sólo existían mientras éstos estaban suscritos... también cuando se daban de baja. El informe realizado pone de manifiesto cómo tanto la retención como el borrado de las cuentas que se daban de baja eran inadecuados.
El despropósito de seguridad fue tal que, incluso, la base de datos de Ashley Madison contenía direcciones de correo electrónico de personas que no llegaron a firmar nunca con la web, lo que pudo perjudicar gravemente su reputación al relacionarse su nombre con una web de estas características.
La propietaria de Ashley Madison, Avid Life Media (recientemente rebautizada como Ruby Corp.), no ha tardado en asegurar que seguirá las conclusiones del informe para mejorar el modo en que administra los datos de sus usuarios.
Sin comentarios