martes, septiembre 29, 2015

Los extorsionadores de Ashley Madison quieren 2.100 €

Cuando se filtraron los datos de los clientes de Ashley Madison vimos que rápidamente comenzaron a sufrir un hostigamiento que llevó a algunos al suicidio. El poder contar con detalles escabrosos de la vida de una persona, como sus gustos sexuales, fotografías comprometedoras o conversaciones subidas de tono que pudieran acabar en manos de familiares y amigos, llevaron a muchos a ver un negocio con estas personas que habían confiado su privacidad a una empresa de Internet que resultó no tomarse tan en serio la privacidad.

Figura 1: Los extorsionadores de Ashley Madison quieren 2.100 €

Cuando los datos se filtraron existía la posibilidad de que muchas de las cuentas fueran falsas o estuvieran manipuladas, pero la existencia de los datos de tarjetas de crédito cuando se compraban algunos de los servicios que ofrecía la red social para "Tener un Affair" las dudas se disipaban, ya que como había explicado el grupo de Impact Team que filtró los datos, aunque hubieras pagado por borrar tus datos, estos quedaban almacenados en la base de datos.

El correo de extorsión exige 10 Bitcoins (más o menos 2.100 €)

Ayer una de las personas que había pagado por uno de estos servicios me envió copia de uno de los correos electrónicos que recibió él, como usuario y cliente de los servicios de Ashley Madison, en el que se le extorsiona para no publicar su información personal entre familiares y amigos.

Figura 2: Primera parte del correo electrónico de extorsión de clientes Ashley Madison

Como se puede ver se exige una cantidad de dinero que debe ser satisfecha a través de una cuenta de BitCoins. En el mensaje se envía toda la información que se tiene del extorsionado, como los datos de la tarjeta de crédito - en este caso una Master Card -, la cantidad pagada por los servicios a la red social, y la dirección IP desde la que se hizo la transacción.

Figura 3: Segunda parte del correo de extorsión de clientes de Ashley Madison

Toda esa información quedaba grabada aunque se hubiera pagado por borrar los datos, como ya he dicho, así que los que tienen la base de datos - mucha, mucha, mucha, mucha gente - todavía seguirán utilizando esos datos en su beneficio.

Figura 4: Cambio de 10 Bitcoins a Euros

Mi recomendación es cambia toda tu información en las redes sociales - cambia nombre de tus cuentas en Facebook o Twitter-, deshazte de los correos electrónicos que usaste con anterioridad, deshazte de las tarjetas de crédito y sobre todo nunca contestes ni pagues, porque no tienes garantía de que no vas a volver a ser extorsionado en el futuro.

Saludos Malignos!

12 comentarios:

Anónimo dijo...

No entiendo nada, ¿No habia sido publicada la BD de esa empresa? Entonces, ¿A que viene esa extorsión si con lo que amenazan ya se ha cumplido?

Otras recomendaciones preventivas habrían sido no usar tu nombre real en internet, o crear una cuenta de email expecifica. Pero como estamos en una época en la que la gente gustosamente publica hasta el más mínimo detalle de sus vidas...

Anónimo dijo...

La pregunta es, se fintraron los datos, pero las contraseñas estan a salvo?

Anónimo dijo...

Quizá este artículo responda a esa pregunta: http://www.muycomputer.com/2015/09/09/ashley-madison-contrasenas y http://www.muycomputer.com/2015/09/16/contrasenas-mas-populares-de-ashley-madison

Andreu dijo...

Ahora se publicaron los datos en bruto, pero difícilmente tu pareja o tus compañeros de trabajo hayan investigado y se hayan enterado.
Los extorsionadores pueden publicar la información en redes sociales (Facebook, Twitter, etc.) de tal forma que tus conocidos se enteren de que has usado el servicio. Ahí está la extersión.

Anónimo dijo...

En el siguiente artículo los detalles del algoritmo que emplearon para proteger las contraseñas:

http://arstechnica.com/security/2015/09/once-seen-as-bulletproof-11-million-ashley-madison-passwords-already-cracked/

J.A.C.M. dijo...

Manda huevos, a mas de uno le va a salir la calita al aire muy cara.

Unknown dijo...

Un ejemplo más del poder y valor de la información.

Anónimo dijo...

¿Y qué opina Enrique Dance de esto?

thecrow dijo...

ejemplo claro de quien folla pagando acaba ahorrando

Anónimo dijo...

la BD se filtro y se pago la cosa es que tienen ahora informacion sensible,ya esta hecho la unica forma de evitar esto es no usar nombre real un correo personal o de tu trabajo deshacerte de tus correo antiguo genera nuevas tarjetas mejora el uso de privacidad en tus redes sociales

Anónimo dijo...

Saludos malignos Chema, será que el mail te lo enviaron a vos? he picarón!

Anónimo dijo...

Pagar la extorsión es inútil y contraproducente. Esos datos los puede conseguir cualquiera, solo queda saber un poquito de SQL para poderlos explotar y relacionar.
De hecho, si la gente extorsionada paga, se aseguran recibir pasado mañana otros correos amenazadores de otros extorsionadores, que en vista del éxito repliquen el procedimiento... O incluso los mismos pueden repetir con los que paguen...

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares