Criador do Ashley Madison acusado de querer roubar dados de site concorrente
Há dois anos, em entrevista ao PÚBLICO, Noel Biderman prometia aos seus utilizadores: "Nunca serão descobertos e isso vai permitir-lhes manter o casamento."
Milhões de utilizadores do Ashley Madison – um site que facilita a procura de relações amorosas extraconjugais – viram os seus dados pessoais espalhados pela Web na semana passada, num ataque informático de um grupo que se autodenomina The Impact Team.
A verdade faz-nos mais fortes
Das guerras aos desastres ambientais, da economia às ameaças epidémicas, quando os dias são de incerteza, o jornalismo do Público torna-se o porto de abrigo para os portugueses que querem pensar melhor. Juntos vemos melhor. Dê força à informação responsável que o ajuda entender o mundo, a pensar e decidir.
Milhões de utilizadores do Ashley Madison – um site que facilita a procura de relações amorosas extraconjugais – viram os seus dados pessoais espalhados pela Web na semana passada, num ataque informático de um grupo que se autodenomina The Impact Team.
No meio dessa montanha de informação está também uma série de e-mails trocados entre o presidente executivo da empresa que detém o site, a Avid Life Media, e o então responsável informático do Ashley Madison. Nessa troca, Noel Biderman sugeriu ao seu subordinado Raja Bhatia que guardasse os e-mails dos utilizadores da secção de encontros amorosos da revista online Nerve.com.
Num e-mail enviado a Noel Biderman em Novembro de 2012, Bhatia disse que tinha descoberto um "enorme buraco de segurança" nos servidores do Nerve.com, através do qual podia "transformar uma conta gratuita numa conta paga, ou vice-versa, enviar mensagens entre os utilizadores, etc."
"Eles fizeram um mau trabalho. Tenho acesso a todos os registos dos utilizadores, incluindo e-mails, passwords, se pagaram ou não pagaram, com quem conversaram, as suas preferências de pesquisa, a data do último acesso, o perfil de risco de fraude, quem bloquearam, fotografias, etc.", detalhou o então responsável informático do site Ashley Madison. De acordo com a revista online Motherboard, Noel Biderman respondeu: "Bem... Eu ficaria com os emails..."
Raja Bhatia recusou-se a retirar os e-mails do site concorrente, mas mostrou ao seu patrão como poderia tentar fazê-lo ele próprio, escreve a Motherboard. Ao que tudo indica, Noel Biderman não conseguiu retirar nenhuma informação do site Nerve.com.
Em comunicado, os responsáveis da Avid Life Media disseram que as conversas foram citadas fora de contexto, e que a interpretação da Motherboard é "incorrecta e infeliz".
"A Nerve estava a procurar parcerias estratégicas em Maio de 2012, e falou com o Noel para saber se a Avid Life Media estava interessada. Nessa altura, o Noel não tomou nenhuma decisão. Em Setembro, a Nerve voltou a contactar o Noel e fez uma apresentação mais detalhada sobre a oportunidade", lê-se no comunicado. Foi então, segundo a Avid Life Media, que o presidente da empresa entrou em contacto com o responsável informático do site Ashley Madison, "pedindo-lhe ajuda para um avaliação técnica prévia".
"Esta avaliação, apesar de ter sido conduzida de forma desajeitada, revelou certas deficiências na tecnologia, que o Noel tentou perceber e confirmar. Em nenhuma altura houve qualquer tentativa de roubar ou usar os dados do Nerve.com", garante a Avid Life Media.
Tribunal e suicídios
A divulgação dos dados pessoais de milhões de utilizadores do Ashley Madison já motivou pelo menos um processo judicial. A acção foi interposta num tribunal de Los Angeles, EUA, por uma pessoa identificada apenas como John Doe – este queixoso, que era utilizador do site, pretende ser indemnizado por "danos psicológicos" e acusa os responsáveis de não terem protegido "de forma adequada" os seus dados pessoais. No processso, a Avid Life Media é também acusada de negligência e invasão de privacidade.
Na segunda-feira, a polícia disse estar a investigar dois casos de suicídio que poderão estar relacionados com a divulgação dos dados. A polícia do Canadá alertou também para casos de extorsão e outros esquemas dirigidos a pessoas que querem evitar a exposição das suas identidades.
O superintendente da polícia de Toronto, Bryce Evans, disse que o ataque criou uma onda de tentativas de extorsão e "crimes de ódio". "Estamos a falar de famílias. Há um enorme impacto social por trás disto. Estamos a falar de filhos, de mulheres, dos seus parceiros. Vai ter impacto na vida de todos eles. Vamos ter crimes de ódio motivados por isto. Há tanta coisa a acontecer e a realidade é que isto não é o espectáculo que tem sido retratado", disse o superintendente da polícia de Toronto.
O site Ashley Madison promete facilitar relações amorosas extraconjugais, e diz ter um dos sistemas de segurança mais avançados, supostamente à prova de pirataria – uma alegação que qualquer utilizador da Internet deve interpretar com muitas reservas, seja qual for o site que estiver em causa; desde que esteja online, tudo é possível acontecer.
Em Julho de 2013, em entrevista ao PÚBLICO (com vídeo), o presidente executivo da Avid Life Media deu uma garantia aos utilizadores do site Ashley Madison: "Nunca serão descobertos e isso vai permitir-lhes manter o casamento." Em Portugal há milhares de utilizadores, a maioria no Norte do país.
Depois de ter ameaçado que iria divulgar os dados pessoais de 37 milhões de utilizadores (ou 37 milhões de contas, já que é possível que um utilizador tenha mais do que uma conta) se a Avid Life Media não encerrasse o Ashley Madison, um grupo de piratas informáticos, autodenominado Impact Team, acabou por expor essa informação, na semana passada. A empresa acusa os autores do ataque de quererem impor os seus padrões de moralidade a toda a sociedade, e está a oferecer uma recompensa de 500.000 dólares canadianos (cerca de 329.000 euros) a quem apanhar os membros do Impact Team.
A polícia de Toronto apelou também a outros hackers que ajudem a identificar os responsáveis pelo ataque. "À comunidade de hackers que discute este assunto na Dark Web [uma parte da Web que não está acessível através de motores de busca como o Google, e onde está a ser transaccionada informação sobre os utilizadores do Ashely Madison], e que tem informação que pode ajudar a nossa investigação, pedimos que façam o que está certo. Vocês sabem que o Impact Team passou das marcas. Façam o que está certo e entrem em contacto connosco", apelou Bryce Evans.
O superintendente disse que um dos esquemas consiste em prometer a utilizadores ou antigos utilizadores do site que é possível proteger os seus dados, mediante o pagamento de uma quantia. Outro dos esquemas é a extorsão – se os utilizadores não pagarem uma quantia, os seus dados são enviados à família, a amigos e colegas de trabalho.