A empresa Friend Finder Network terá sido alvo daquele que é até agora o maior ataque informático conhecido de 2016. Os piratas informáticos alegadamente conseguiram aceder aos dados de 412.214.295 contas de utilizadores de diferentes serviços online que são geridos pela empresa. A empresa ainda não confirmou o ataque.
A maior parte dos dados terão sido roubados da rede social AdultFriendFinder, um dos maiores sites de encontros para adultos. Desta plataforma os crackers conseguiram levar dados de mais de 339 milhões de utilizadores: nomes, endereços de email e palavras-passe.
Os restantes milhões de perfis foram roubados das plataformas online Penthouse, Stripshow, Cams e iCams, todas geridas pela Friend Finder Network.
Se tem perfil em qualquer uma destas plataformas é aconselhável que mude as suas credenciais de acesso o quanto antes.
A notícia foi avançada pelo site Leaked Source que diz que os atacantes acederam a dados que foram guardados pela Friend Finder Network durante mais de 20 anos. O grande volume de informações roubadas colocam este ataque como um dos maiores de sempre, sendo apenas ultrapassado pelo do Yahoo.
O mesmo site refere que 99% das passwords roubadas estão agora acessíveis em formato de texto, algo que acontece devido às fracas ferramentas de encriptação usadas pela Friend Finder Network na proteção dos dados dos utilizadores – modelo de hash SHA-1.
Com base nos dados já disponíveis, a Leaked Source revela que existem 145.438 emails com o domínio @live.com.pt e outros 141.379 emails relativos ao domínio @sapo.pt – ou seja, provavelmente uma boa parte é relativa a utilizadores portugueses.
Vulnerabilidades já denunciadas
Em meados de outubro a publicação CSO Online dava conta da existência de falhas de segurança na plataforma AdultFriendFinder que permitiam a inclusão remota de ficheiros. Já na altura o investigador que descobriu a falha, que dá pelo nome de 1×0123, conseguiu aceder a diferentes bases de dados.
Ainda não é certo se os dados revelados que parecem pertencer à Friend Finder Network foram conseguidos antes ou depois das revelações das vulnerabilidades.
O relatório do site Leaked Source contém outras alegações igualmente graves: se se confirmar que os dados têm de facto origem nas plataformas da empresa norte-americana, então terão sido guardados perto de 15 milhões de endereços de emails de utilizadores que pediram especificamente para ser apagados das bases de dados.
O caso Ashley Madison
Esta possível fuga de informações do AdultFriendFinder está a ser comparada ao caso Ashley Madison devido ao perfil semelhante das plataformas: são sites de encontros para adultos.
O Ashley Madison também foi alvo de um ataque informático significativo, tendo na altura sido roubados dados de mais de 30 milhões de utilizadores. Neste caso específico os dados estavam a ser usados para extorsão de dinheiro às pessoas afetadas.
Até agora não há informações de que os alegados dados da AdultFriendFinder estejam a ser usados para extorsão e chantagem, mas os receios continuam a valer: suspeita-se que no caso Ashley Madison pelo menos três pessoas terão cometido suicídio devido à fuga de informações.
