La seguridad de Ashley Madison era ridícula

El caso Ashley Madison fue uno de los mayores escándalos de seguridad cibernética en 2015 y saltó a las portadas de todo el mundo cuando un grupo conocido como Impact Team conseguió robar datos de 37 millones de usuarios del portal web de citas, de su infraestructura interna y de otros datos corporativos.

El escándalo fue mayúsculo y aunque la propietaria del portal, Avid Life Media (ALM), intenta recuperar el sitio, el caso Ashley Madison se sigue investigando por varios reguladores ante el compromiso de privacidad que para millones de usuarios supuso la filtración de datos personales, financieros, correos electrónicos y empresariales, y cómo la inseguridad del sitio pudo permitirlo.

Una investigación conjunta de los Comisionados de Privacidad de Australia y Canadá, cuyos resultados fueron publicados ayer, no escatima en calificativos negativos sobre la seguridad del sitio, que pare empezar mentía descaradamente sobre los millones de «chicos/as disponibles» para los adúlteros/as (solo 12.000 chicas reales de 37 millones de usuarios)

De particular preocupación para los reguladores de privacidad eran cuatro prácticas cuestionables: la retención de datos personales después de que un usuario borrara su cuenta; la política de cobrar por lo que se llamó una «completa eliminación» que no era real porque la empresa los guardaba hasta 12 meses; la falta de confirmación de direcciones de correo electrónico y la falta de transparencia sobre la forma en que la compañía manipulaba los datos de usuario.

Seguridad TI desastrosa

En cuanto a las prácticas de seguridad internas corporativas eran simplemente lamentables. La empresa almacenaba las contraseñas de VPN en Google Drive, por lo que era sencillo que un atacante las obtuviera atacando la máquina de cualquier empleado. El informe también señala que no contaba con autenticación de múltiples factores en sus redes privadas virtuales.

Una vez que un atacante estaba en el interior, se encontrarían que algunas contraseñas fueron almacenadas como texto sin formato, disponibles en correos electrónicos simples entre empleados y en archivos de texto en los servidores de la empresa.

Las claves de cifrado también se almacenaban como texto sin formato y eran claramente identificables como ALM (Avid Life Media). Incluso se encontró una clave SSH «segura» que no estaba protegida con contraseña. Esta clave permitiría a un atacante conectarse a otros servidores sin tener que proporcionar una contraseña. 

Si quieres conocer como no debe actuar una compañía de Internet en términos éticos, legales y de seguridad para manejar y proteger los datos de sus usuarios, no te pierdas el informe de los reguladores. Y aún está pendiente el de la FCC estadounidense.

ALM se ha convertido en Ruby Corp y ha prometido solucionar el desastre de Ashley Madison. En seguridad lo pueden conseguir. Recuperar la confianza de los usuarios va a ser muy complicado por mucho que el sexo sea oro en Internet.