Hackers do Ashley Madison Falam: ‘Ninguém Estava Vendo’

Nas últimas semanas, a imprensa internacional tem falado da invasão do site extraconjugal Ashley Madison que afetou dezenas de milhões de usuários do site e vazou o suposto código-fonte dos produtos da companhia na internet.

Os hackers por trás da invasão, os membros do The Impact Team, lançaram pílulas dos dados em julho. Depois de quase 30 dias, eles soltaram 10GB de informação de clientes e, dias depois, mais 20GB de dados internos. Minutos atrás, os hackers também postaram um terceiro carregamento de dados.

Foi entregue ao Motherboard o email de contato do The Impact Team por meio de um intermediário. Depois de contatados, os hackers enviaram uma mensagem assinada com a mesma criptografia PGP postada com os dados do Ashley Madison.

The Impact Team concordou em responder às perguntas apenas via email. O que segue é uma curta entrevista com eles.

MOTHERBOARD: Como vocês hackearam a Avid Life Media? Foi difícil?

The Impact Team: Nós nos esforçamos em fazer um ataque plenamente irrastreável, então entramos e não encontramos nada que nos impedisse.

Como era a segurança deles?

Ruim. Ninguém estava vendo. Nenhuma segurança. A única coisa foi rede segmentada. Você poderia usar Pass1234 para a internet no VPN para entrar em todos os servidores.

Quando vocês começaram a hackeá-los? Anos atrás?

Um bom tempo atrás. [Nota: em um arquivo README no primeiro carregamento de dados, os hackers escreveram que eles vem coletando informação da companhia "ao longo dos últimos anos".]

Que outros dados da Avid Life Media vocês tem?

300GB de e-mails de empregados e documentos da rede interna. Dezenas de milhares de imagens de usuários do Ashley Madison. Alguns chats e mensagens de usuários do Ashley Madison. 1/3 das imagens são fotos de pinto e não vamos mostrar. Não vamos mostrar a maioria dos e-mails de empregados também. Talvez de outros executivos.

Por que vocês soltaram os carregamentos em blocos\?

Nosso inglês é ruim? Esse sempre foi o plano. Nosso primeiro lançamento tinha um carregamento de amostra de 2700 transações. Um de 21/03/2008… 28/06/2015. Um por dia. Depois veio tudo. Mais fácil dessa forma.

O que vocês acham da reação da Avid Life (e seu CEO Noel Biderman)?

Eles ganham U$ 1.000.000.000 em fraude por ano. Não estou surpreso que eles não fecharam. Talvez advogados possam fechá-los agora. Eles soam como políticos, não conseguem parar de mentir. Eles disseram que ele não guardam CC [informação de cartão de crédito]. Claro, eles não guardam e-mails também, eles apenas logam todo dia no server e os lêem. Eles tinham o password para o processador de CC. Soltamos informação a partir do processador de CC. [Nota: Pedimos aos hackers para clarificar esse ponto, nós vamos atualizar se recebermos uma resposta.]

Quais foram suas motivações para o hack?

Estivemos dentro da Avid Life Media por um longo período para entender e pegar tudo. Finalmente nós vimos os logins de Ashley Madison crescendo e o tráfico humano nos sites. Todo mundo está dizendo 37 milhões! Chantagear usuários! Nós não chantageamos usuários. Avid Life os chantageou. Mas qualquer time de hackers poderia. Nós o fizemos para parar os próximos 60 milhões. Avid Life Media é como um traficante de drogas abusando dos viciados.

Existe a prova que o 'Full Delete' não funciona, inclusa nos arquivos?

Sim. Muitas contas e identidades lá dentro.

O quão experientes são os hackers do The Impact Team?

Muito.

The Impact Team vai hackear outros sites no futuro? Se sim, que alvos ou tipos de alvos vocês tem em mente?

Não apenas sites. Quaisquer companhias que ganham centenas de milhões lucrando da dor dos outros, segredos e mentiras. Talvez políticos corruptos. Se o fizermos, vai demorar um pouco, mas vai ser total.

Tradução: Pedro Graça.