O conhecido site de relacionamentos Ashley Madison foi alvo de um ataque cibernético bem sucedido. O slogan deste portal é: “Ashley Madison – A vida é curta. Curta um caso”. O Ashley Madison pertence à empresa Avid Life Media, que admitiu que o ataque atingiu, também, os portais Cougar Life e Established Men. Há 37 milhões de usuários do portal Ashley Madison e, agora, cada uma dessas pessoas espera ansiosamente para ver se suas informações mais íntimas e privativas serão publicadas ou se lhes será dada, mediante um custo, a oportunidade de impedir que isso aconteça. Dada a confidencialidade dos dados, esse ataque pode ser o roubo cibernético mais lucrativo de todos os tempos, uma ação que pode estabelecer outros precedentes muito preocupantes.
As repercussões dessa história são profundas em um mundo no qual registros médicos e pontuações de cartão de crédito estão conectados à Internet e podem ser acessados por meio de dispositivos; um mundo onde carros em movimento podem ser controlados remotamente por hackers e obrigados a participar de acidentes. Os dados pessoais, financeiros e de emprego relacionados aos usuários do Ashley Madison enfrentam a perspectiva de ter um resgate solicitado por um grupo denominado Impact Team. Esses hackers já vazaram alguns detalhes da base de dados Ashley Madison e estão ameaçando divulgar ainda mais ao público.
Hipótese de ter acontecido uma invasão sistêmica
É difícil, nesta fase, identificar como esse ataque ocorreu. Já sabemos que os usuários costumam usar senhas de baixa qualidade. Entretanto, uma violação tão abrangente como esta sugere que 37 milhões de senhas individuais não foram adivinhadas uma a uma; é mais provável ter ocorrido uma invasão sistêmica. Em outras violações, as causas variaram desde ex-funcionários descontentes até funcionários atuais cujas credenciais de acesso foram comprometidas por engenharia social. Outras falhas são resultado de ataques digitais automatizados. Trata-se de ciber crimes que utilizam infecção por malware avançado para romper as barreiras da segurança corporativa.
Nesse período pós-invasão, as discussões nos escritórios do Ashley Madison devem estar muito aquecidas. A verdade, porém, é que ntanto, crises como essas tendem a ser vistas por muitos e só esquecidas como e quando a mídia decide que escreveu, gravou e registrou material suficiente para denominá-la “notícia velha”. Num quadro como este, os gestores do Ashley Madison estarão claramente procurando encontrar uma maneira de limitar os danos à reputação da empresa.
Natureza dos dados roubados causará estragos por longo tempo
Eu acredito, no entanto, que a invasão do Ashley Madison terá uma longa duração em virtude da escala e da confidencialidade dos dados pessoais extraídos dos seus membros. Dada a natureza das informações, ela poderia ser explorada amanhã ou daqui a um ano e ainda causar muitos estragos. Os atacantes cibernéticos dispõem de muitas opções para explorar as informações colhidas por eles.
A primeira possibilidade é o Impact Team prosseguir com a sua ameaça de expor as informações dos usuários com a intenção de envergonhá-los publicamente. Isto faria do ataque ao Ashley Madison um dos primeiros ataques cibernéticos em grande escala motivados principalmente por moralismo – mesmo que o ataque tenha sido parcialmente motivado por razões financeiras. Tais ataques são preocupantes no sentido de que os adversários não são tão facilmente dissuadidos pelos altos custos da realização do ataque. Um outro efeito do ataque é que as pessoas que tiveram seus dados roubados precisarão se preocupar pelo resto da vida com o risco de terem suas vidas privadas expostas publicamente.
A verdade, porém, é que a maioria dos ataques contra empresas tende a ter uma motivação financeira e os atacantes se concentram nas atividades que eles acreditam que proporcionará o maior retorno pelos seus esforços investidos. Alguns analistas de mercado acreditam que o Impact Team divulgou o ataque e alguns dados específicos para aumentar o valor do resgate a ser cobrado. Outra teoria diz que essa divulgação inicial aumentaria o valor de revenda dos dados que estão em poder do Impact Team.
Um cenário é que o Impact Team – ou quem quer que comprar os dados roubados pelo Impact Team – usará os dados para pedir resgate aos usuários do Ashley Madison, com a ameaça de divulgar tudo publicamente ou em mensagens direcionadas a entes queridos registros que deveriam ser particulares. Isso será feito a menos que seja paga uma quantia específica aos sequestradores de informações. Com 37 milhões de potenciais vítimas, muitas das quais podem ser pessoas físicas de elevado patrimônio, isso pode tornar a invasão do Ashley Madison altamente lucrativa, potencialmente um dos roubos cibernéticos mais rentáveis de todos os tempos.
Usuário do portal pode se tornar refém dos ciber criminosos
Mesmo usuários donos de um menor patrimônio líquido podem ser interessantes para os atacantes cibernéticos, especialmente no caso de pessoas que tenham acesso profissional a redes corporativas ou a recursos de alto valor. Os atacantes cibernéticos podem manter tais funcionários ‘na mira’, numa posição de reféns em que seriam obrigados a colaborar com criminosos facilitando acesso a um banco de dados corporativo ou permitindo um vazamento de dados. Isso seria feito em troca do retorno seguro e discreto dos dados confidenciais dessas pessoas.
Os invasores também podem revender registros de dados pessoais a outros criminosos digitais mediante uma taxa, o que poderá, depois, proporcionar pontos vitais de entrada para ataques direcionados de maior escala a organizações específicas. Quando frescos e recentemente obtidos, os dados podem ser vendidos no ‘mercado cinza’ pelo maior lance. O valor é inflacionado porque, depois desta venda, teoricamente ninguém mais teria acesso a esse conjunto de informações.
O que sabemos é que existem algumas manobras defensivas que todos nós podemos fazer para reduzir o acesso a dados pessoais confidenciais. Segundo uma pesquisa realizada pela Blue Coat, os trabalhadores do Reino Unido – o local onde foi feito o levantamento – ainda não estão conscientes das melhores práticas de proteção de informações pessoais e de trabalho online. Hoje, 54% dos trabalhadores do Reino Unido se conectam com estranhos em mídias sociais e 18% dos trabalhadores do Reino Unido nunca tiveram formação em TI.
A melhor formação não é a única solução para as ameaças cibernéticas, mas mais orientação é claramente necessária. Não há mais lugar para a ingenuidade. Os criminosos cibernéticos estão, por exemplo, usando as mídias sociais para encontrar informações sobre pessoas que possam levar à descoberta de senhas. Em caso de sucesso, há suficiente alavancagem no universo das redes sociais para os atacantes obterem acesso irrestrito a redes corporativas e roubarem informações de trabalho confidenciais.
Ao se refletir sobre todos esses pontos fica claro que, embora as consequências da invasão do Ashley Madison não venham a ser totalmente conhecidas até o Impact Team mostrar a que veio, parece que este caso deixará um legado duradouro.
Ataque motivado por moralismo ou ideologia
Se o Impact Team decidir usar os dados para obter resgate, este será um dos mais lucrativos – e embaraçosos – roubos de dados dos últimos anos. Mas, se levarem adiante sua ameaça de divulgar os dados publicamente, isso poderá muito bem marcar o início de uma tendência em que grandes ataques cibernéticos passam a ser motivados por moralismo ou ideologia, em vez de ganho financeiro. O crime cibernético se tornará uma ferramenta em campanhas para derrubar pessoas, corporações e agências governamentais, ou para defender posicionamentos sociopolíticos.
Neste quadro, o slogan da Ashley Madison (“A vida é curta. Curta um caso”) ganharia uma nova versão: a vida é curta, e alguns casos podem produzir longos e perturbadores resultados.
*Ray Jimenez é Vice-Presidente da Blue Coat América Latina e Caribe