O Ashley Madison, lar online para quem comete adultério, confirmou que alguém realmente vasculhou seu banco de dados com 37 milhões de usuários. A empresa nega que estava enganando clientes através da opção “pague para deletar”, e diz que conseguiu derrubar as informações que vazaram até o momento.

A Avid Life Media (ALM), dona do site Ashley Madison, diz em comunicado que ocorreu uma “invasão criminal” em seus sistemas, apesar de não comentar sobre a extensão do acesso aos dados.

A invasão foi divulgada em um post dos próprios hackers, um grupo autodenominado The Impact Team, que publicou na internet uma amostra das informações obtidas, juntamente a um manifesto exigindo o fim do Ashley Madison e do site relacionado CougarLife.

O post rapidamente desapareceu, assim como os dados vazados de usuário. Manter um segredo na internet – especialmente um com detalhes tão indecentes – normalmente não é fácil, mas a ALM parece ter conseguido, usando a DMCA (lei americana para proteção de direitos autorais) para derrubar cópias alternativas dos dados.

Ashley Madison e pague para deletar

Em seu manifesto, o Impact Team mencionava a opção “pague para deletar” do Ashley Madison: trata-se de um serviço de US$ 19 que prometia remover todas as suas informações pessoais dos servidores da ALM – o que é algo bastante questionável, diga-se de passagem.

De acordo com os hackers, a ALM guardava dados de cartão de crédito e o endereço dos usuários, mesmo depois que eles pagassem os US$ 19. Quanto a isso, a empresa diz: “ao contrário de relatos na mídia, com base em acusações publicadas on-line por um criminoso cibernético, a opção ‘pague para deletar’ oferecida pela AshleyMadison.com de fato remove todas as informações e comunicações relacionadas ao perfil do usuário”.

É curioso que a empresa não menciona as informações de cartão de crédito usadas para pagar a taxa de remoção de US$ 19 – é isso que os hackers acusavam a ALM de manter.

De qualquer forma, o Ashley Madison continua online.

A declaração completa segue abaixo:

Fomos recentemente informados sobre uma tentativa de alguém não-autorizado de ter acesso aos nossos sistemas. Pedimos desculpas por esta invasão sem motivo e criminosa às informações de nossos clientes. Nós sempre tivemos em primeiro lugar a confidencialidade das informações de nossos clientes, e mantivemos medidas rigorosas de segurança, como trabalhar com os principais fornecedores de TI de todo o mundo.

Neste momento, conseguimos garantir a segurança dos nossos sites, e fechar os pontos de acesso não-autorizados. Estamos trabalhando com a polícia, que está investigando este ato criminoso. Toda e qualquer parte responsável ​​por esse ato de ciberterrorismo será responsabilizada. Usando o Digital Millennium Copyright Act (DMCA), nossa equipe conseguiu remover com sucesso as mensagens relacionadas a este incidente e publicadas online, bem como todas as informações pessoalmente identificáveis ​​(PII) sobre nossos usuários.

Ao contrário de relatos na mídia, com base em acusações publicadas on-line por um criminoso cibernético, a opção “pague para deletar” oferecida pela AshleyMadison.com de fato remove todas as informações e comunicações relacionadas ao perfil do usuário. O processo envolve a exclusão permanente do perfil de um usuário, incluindo a remoção de fotos postadas e todas as mensagens enviadas para caixas de e-mail de outros usuários do sistema. Esta opção foi desenvolvida devido a pedidos de membros específicos para tal serviço, e projetada com base no feedback deles.

Como a privacidade dos nossos clientes é de extrema preocupação para nós, agora estamos oferecendo gratuitamente a remoção completa de perfis para qualquer membro, à luz das notícias de hoje.

Foto por Lee Jin-man/AP; captura de tela por Ars Technica