Edgar Pimenta, Visão on line,
Um ataque informático que conduziu a suicídios
...
A Ashley Madison é um site que promove encontros amorosos, nomeadamente para pessoas casadas - “Life is short. Have an affair” é o seu slogan. E foi alvo de um ataque no recente mês de Julho.
É uma tendência que se tem verificado: aumento do número de ataques a websites e empresas. Uns são mais mediáticos, outros ficarão no segredo dos deuses. E apesar do recente enorme ataque à Sony e do ainda mais recente ataque a uma empresa - Hacking Team - que vendia software de vigilância a governos vários (incluindo algum repressivos), a verdade é que o ataque à Ashley Madison tem tido uma cobertura bem superior. Compare-se o número de entradas no google que vai dos cerca de 36 milhões para a Asley Madison, contra os 18 da Sony e os 2 milhões da Hacking Team.
Fica para a história, e não pelos melhores motivos.
Como resultado deste ataque, foi obtido pelo grupo auto-designado Impact Team, informação pessoal dos utilizadores do site (cerca de 37 milhões de utilizadores). Só a mera publicação dos endereços de e-mail seria suficiente para causar constrangimento a muita gente. Mas como se não bastasse, foi divulgada informação adicional que incluí o nome, morada e telefone. São ainda divulgadas preferências sexuais dos utilizadores.
Segundo o grupo, uma das motivações para o ataque foi o facto de o site ter um serviço pago para eliminar a totalidade da informação dos utilizadores que o solicitassem. Parece ser contrário ao bom senso que se tenha que pagar para um site deixar de ter informação sensível nossa. Mas se se tem de pagar para que a informação seja eliminada, pelo menos deve-se confiar que ela é de facto eliminada. Mas não foram….
Neste 37 milhões de utilizadores, constam muitos que tinham pago pelo serviço de eliminação.
Assim, fruto dessa fraude, o grupo exigia a desativação do site. E aqui está um paradoxo que faz desconfiar das verdadeiras intenções do grupo, já que ao divulgarem a informação dos utilizadores (mesmo daqueles que tinham solicitada a eliminação dos dados), este grupo está a fazer ainda pior do que acusa a Ashley Madison de fazer.
E a mera divulgação dos e-mails tem impactos diversos. Vários utilizadores estão a ser alvo de extorsões, solicitando o pagamento para que os seus dados não sejam divulgados. Pagamento este que poderá não garantir nada, já que muitos dos dados tem vindo a ser pontualmente disponibilizados. Ou seja, a extorção poderá não estar a ser feita pela Impact Team mas sim por alguém que terá tido acesso aos dados. Dados esses que poderão existir perpetuamente (a internet não esquece...).
Talvez por causa deste cenário de perpetuabilidade, alguns utilizadores (pelo menos duas situações estão referenciadas) poderão ter cometido suicídio na sequência da divulgação de que estavam registados no site.
Mas existe aqui um twist maldoso… Quando um utilizador se registava no site poderia inscrever-se com o e-mail de qualquer pessoa, já que o registo não implicava a validação do e-mail. Uma prática muito pouco recomendada, sobretudo para um tema tão sensível….
A informação que foi obtida pelo grupo permitiu ainda perceber algumas práticas menos éticas seguidas pela empresa detentora do site.
A primeira está relacionada com a percentagem de utilizadores do sexo masculino e do sexo feminino. Uma vasta maioria dos utilizadores é do sexo masculino (em percentagem maior do que o site alegava). E muitos dos utilizadores do sexo feminino eram perfis falsos, criado pela própria empresa. Esta tinha ainda sistemas automáticos para enviar mensagens aos utilizadores masculinos, fazendo-se passar por pessoas reais. Ou seja, um serviço de ética duvidosa com práticas ainda mais duvidosas.
Outra prática é o ataque de sites da concorrência: embora não existam provas de que ocorreu facto, a verdade é que foi ponderado.
Nesta história, nem falta o pagamento de 500 mil dólares Canadianos por parte da empresa que detêm o site a quem fornecer informações que levem à prisão dos autores do ataque. Uma tentativa de conseguir que alguém do grupo atraiçoe os restantes membros?
Obviamente, são já vários os processos contra a empresa que já perdeu o seu CEO por demissão. E o pesadelo pode ainda estar no início.
No final, convêm não esquecer que as principais vítimas são os utilizadores do serviço (concordemos ou não com as suas práticas). E o grupo de hackers, usando uma fachada de justiça, acabou por fazer muito pior do que o próprio site.
Ficam as questões: E se o site atacado fosse de outra índole? Teria o mesmo impacto mediático? Haveria maior condenação social de quem o atacou?