Como o Ashley Madison escondeu seus bots de usuários e investigadores
Os desenvolvedores do Ashley Madison criaram a primeira mulher artificial durante o ano de 2002. O apelido dela era Sensuous Kitten (algo como Gatinha Sensual), e ela é listada como a décima usuária da base de dados vazada do site. No perfil dela, ela diz: “Estou com alguns problemas no meu computador… me manda uma mensagem”.
>>> Assine a newsletter semanal do Gizmodo
Sensuous Kitten foi a vanguarda de um exército de robôs. Conforme o Gizmodo mostrou na semana passada, o Ashley Madison criou dezenas de milhares de “mulheres-robôs” para influencia homens a comprar crédito no site que poderia fazê-los ter um caso. Quando os homens se cadastravam em uma conta gratuita, eles eram imediatamente expostos a perfis conhecidos como “Angels” nos documentos internos — mulheres falsas cujos detalhes e fotos foram gerados usando um software especial. Para dar vida a estas mulheres, os desenvolvedores da companhia também criaram robôs para animar as chamadas Angels, enviando emails e respondendo a chats em nome delas.
Ao “visitante” do Ashley Madison — um usuário com uma conta gratuita no site — poderia parecer que ele estava sendo contatado por mulheres interessadas em ter um caso. Mas caso ele quisesse ler ou responder a estas mensagens que recebia, ele precisaria comprar créditos no site, cujos preços variam de US$ 60 a US$ 290. Cada mensagem enviada no site custaria a este homem créditos. E conforme revelam os documentos da companhia, 80% das primeiras compras no site eram resultantes de um homem tentando responder ou ler a mensagem de um robô. A grande maioria dos homens no Ashley Madison estavam pagando para conversar com Angels como a Sensuous Kitten, cuja mente era feita de um software e cujas respostas eram rapidamente escritas por um algoritmo de computador.
Mas os homens não eram enganados. Não todos, pelo menos. Uma análise dos emails da empresa, junto a evidências do código-fonte do Ashley Madison, revela que os executivos da companhia estavam em uma constante batalha para esconder a verdade. Em emails aos membros descontentes do site e até mesmo à procuradoria-geral da Califórnia, eles compartilharam a verdade sobre a função destes robôs no modelo de negócios da companhia.
Esquivando-se do procuradoria-geral da Califórnia
Em 11 de janeiro de 2012, o escritório de Kamala Harris, a procuradora-geral da Califórnia, enviou uma reclamação oficial dos consumidores aos executivos do Ashley Madison (abaixo). A reclamação, direcionada a unidade de inquérito público do escritório da procuradora, veio de um homem do sul da Califórnia que acusou a companhia de praticar fraudes ao usar “perfis falsos” que solicitavam que ele pagasse para manter conversas no site.
A carta exigia uma resposta do Ashley Madison ou o site poderia ser levado à Justiça.
Na reclamação (abaixo), o homem descreve o que ele suspeitava ser um robô de conversação. Ele foi contatado por um número de mulheres da área em que morava, até finalmente decidir pagar para ler as mensagens. Ele começou a suspeitar de algo quando percebeu que todas as mulheres diziam a mesma coisa: “Você está online?”. Como todo perfil no site tem um marcador que diz se a pessoa está online ou não, ele achou a mensagem estranha. Especialmente quando a mesma mensagem supostamente veio de uma série de mulheres diferentes — mulheres estas que, inclusive, nunca tinham visto o perfil dele. Mas isso era apenas o começo: ele descobriu que as mulheres que entraram em contato com ele ficavam todas online por volta do mesmo horário, pela manhã, e mantinham-se online até depois das 17h. Até mesmo no Natal e no Ano Novo.
Uma busca pela frase “você está online?” no código fonte do Ashley Madison revela uma tabela que eu não havia visto antes. Ela contém uma série de abordagens que os robôs usavam com frequência. As quais incluem:
você está logado?
quer conversar?
Eu estou online agora
Estou aqui
venha conversar :)
venha dizer oi
meu chat está online agora
você está online?
quer conversar?
vamos conversar agora?
você gosta de sexo virtual?
sexo virtual?
quer sexo virtual?
Como você está? Quer conversar?
curte sexo virtual?
como foi o seu dia? quer conversar?
rola um sexo virtual?
como são suas habilidades com o sexo virtual ;)
você está no computador?
Então há quanto tempo você está aqui? Conheceu gente interessante?
Isso mostra que o nervoso consumidor californiano estava no caminho certo. E quanto ao nome das usuárias que ele menciona na reclamação? Depois de checar a base de dados dos membros do Ashley Madison, posso confirmar que quatro destes nomes (Hooky_Pooky, ToasterStrudell, SunStarsMoon and BurnOnTheGrill) ainda são usados como “hosts”, um dos nomes dos perfis robóticos usados pela companhia. Então, aparentemente, a empresa nem se importou em desativar estas contas que foram acusadas de fraudulentas na reclamação oficial do consumidor.
Mike Dacks, o conselheiro geral da Avid Life Media, empresa dona do Ashley Madison, escreveu uma resposta a unidade de inquérito público alguns dias depois. Nela, ele escreveu que “elementos criminosos” no Ashley Madison são conhecidos por criar perfis falsos no site, e que membros poderiam “reportar perfis suspeitos” ou “marcá-los”. Basicamente, Dacs argumentou que perfis falsos no Ashley Madison eram de membros externos da companhia. Ele garantiu a unidade de inquérito público que o Ashley Madison havia reembolsado o consumidor e “marcado” os perfis que ele nomeou na reclamação.
Noel Biderman, ex-CEO da Avid Life Media (que renunciou há algumas semanas, pouco depois do vazamento), e alguns outros executivos sêniores da companhia assinaram a resposta de Dacks. Aparentemente, ela foi o suficiente para impedir que a procuradoria-geral investigasse o site.
Ashley Madison esconde a verdade de seus usuários
Apesar de ter dito a procuradoria-geral que os robôs presentes no site eram parte do trabalho de fraudadores aleatórios, o Ashley Madison teve problemas internos com a legalidade do que faziam. As reclamações dos usuários sobre os robôs eram constantes, e existem diversas trocas de email entre Biderman e alguns advogados conversando sobre como eles poderiam explicar que o site produzia perfis falsos sem parecer que isso fosse algo errado.
Pelo final de 2013, Leslie Weiss, uma sócia da firma Barnes & Thornburg, um escritório de advocacia de Chicago, escreveu um adicional aos termos de serviço do site. De um email datado em 12 de novembro de 2013, ela incluiu o seguinte aos termos:
A fim de permitir que as pessoas que são apenas convidados em nosso site experimentem o tipo de comunicação que eles esperam como membros, poderemos criar perfis que talvez interajam com eles. Esses perfis permitem coletar mensagens, chat instantâneo e/ou respostas de pessoas ou programas, para fins de cumprimento de pesquisa de mercado e/ou experiência do cliente e/ou controle de qualidade. Além disso, podemos utilizar estes perfis em conexão com nossa pesquisa de mercado para que possamos analisar as preferências do usuário, tendências , padrões e informações sobre a nossa base de clientes e clientes em potencial. Você reconhece e concorda que alguns dos perfis publicados no Site, com quem você poderá se comunicar como um convidado, poderão ser fictícios. O propósito de nossa criação desses perfis é proporcionar aos nossos usuários convidados com entretenimento, para permitir que os usuários convidados possam explorar nossos serviços e para promover uma maior participação em nossos serviços. As mensagens enviadas são geradas por computador. As mensagens dos perfis que criamos, tentam simular as comunicações de modo que você também se tornará um membro, incentivando você a participar de mais conversas e para aumentar a interação entre os colegas. Nós também usamos esses perfis para monitorar as comunicações de usuários e uso de nosso serviço para medir a conformidade com os Termos.
Os perfis que criamos não são destinados a assemelhar ou imitar quaisquer pessoas reais. Podemos criar vários perfis diferentes que atribuímos a uma determinada imagem. Você entende e reconhece que criamos esses perfis e que estes perfis não são baseados em ou associados a qualquer usuário ou membro do nosso Serviço ou qualquer outra pessoa real. Você também reconhece e concorda que as descrições, fotos e informações incluídas em tais perfis são oferecidos, principalmente para sua diversão e para ajudar você a navegar e aprender mais sobre o nosso site. Como parte desse recurso, os perfis podem oferecer, iniciar ou enviar piscadinhas, chaves privadas e presentes virtuais. Qualquer um destes perfis poderá enviar mensagens a diversos usuários, ao mesmo ou substancialmente ao mesmo tempo assim como nossos usuários.
Nossos perfis se comunicam com usuários convidados, mas não com os nossos membros. Membros interagem apenas com perfis de pessoas reais. Os visitantes são contatados pelos nossos perfis através de mensagens geradas por computador, incluindo e-mails e mensagens instantâneas. Esses perfis não são visivelmente identificados como tal.
Essa é uma descrição surpreendentemente transparente do que o Ashley Madison faz — ela admite que os usuários podem “se comunicar” com perfis “fictícios”.
É, inclusive, o que diziam os termos em português do site, conforme mostramos há alguns dias.
No final de agosto, o Gizmodo Brasil comparou os termos em português e inglês. A cláusula 5, que expõe o uso de robôs pelo site, eram bem diferentes uma versão da outra. A primeira, em português, continha exatamente o que foi escrito por Weiss em 2012, com 764 palavras. Já a segunda versão, em inglês, até a data da nossa matéria, não era nada clara quanto ao uso de perfis falsos em suas poucas 195. E nós registramos imagens deste comparativo:
Termos do site Ashley Madison em inglês.
Os mesmos termos em português.
Hoje, os termos em inglês já se igualam ao equivalente em português, com os itens A e B, escritos por Weiss em 2012.
Mas voltando aos emails encontrados na base de dados vazada, houve algum receio em mencionar determinadas palavras nos termos. Eles eram transparentes a ponto de até mesmo dizem que o site pode reciclar as imagens usadas pelas Angels, mas essa transparência acaba quando Weiss sugere que os termos digam que os robôs são usados para “entretenimento” e “pesquisa de mercado”.
Em resposta a Weiss, Biderman reflete se eles deveriam excluir as referências a entretenimento e apenas dizer que os robôs providenciam “qualidade”.
Leslie, jason e eu estávamos discutindo este assunto e um dos componentes da “missão” que se mantém a noção de “entretenimento”. De novo, entendo o seu pensamento quanto a isso, mas me pergunto se posicionar os perfis engajadores como sistemas de detecção primária e de aviso para garantir qualidade não é uma maneira melhor ou um posicionamento adicional que deveríamos contemplar.
Parece que Weiss ganhou este debate em particular, mas não por completo. A Wayback Machine revela que as palavras dela foram usadas nos termos por algum tempo, mas mudaram em março deste ano. Inclusive, os atuais termos de serviço não mencionam “software” ou perfis “fictício” — em vez disso, diz apenas que alguns perfis podem ser “exagerados ou fantasiosos”. E desde 7 de setembro deste ano os termos do Ashley Madison dizem o seguinte:
Nosso site e nosso serviço oferece aos usuários a oportunidade de explorar e melhorar suas habilidades de interagir com outras pessoas no site. No entanto, não há garantia de que você vai encontrar uma paquera ou um parceiro para comunicação em nosso site ou através do nosso serviço. Nosso site e nosso serviço também é voltado para lhe proporcionar diversão e entretenimento. Você concorda que algumas das características do nosso site e nosso serviço são destinados a fornecer entretenimento para nossos usuários.
No mesmo dia que Weiss e Biderman debateram como descrever os robôs aos usuários nos Termos de Serviço, o CEO também conversava com alguns de seus colegas sobre como criar um email padrão para responder a usuários reclamando sobre os robôs no site.
O diretor de atendimento ao Cliente, Carlos Nakhle, sugeriu o seguinte:
Conforme explica em nossos Termos e Condições, as Ashley Angels são perfis usados em conexão com a nossa pesquisa de mercado para ajudar a analisar as preferências do usuário, monitorar as comunicações e também encorajar mais conversas e interação entre os membros.
Os créditos jamais serão usados em conexões com uma Angel. Desta forma, você pode iniciar contato com confiança.
Assim como seu chefe, Nakhle preferia que o Ashley Madison dissesse aos usuários que os perfis falsos estavam ali apenas para pesquisa de mercado. Nenhuma menção de entretenimento.
Ainda não é claro se o email de Nakhle foi enviado aos usuários que reclamavam dos perfis falsos. Mas a afirmação dele que nenhum usuário gastaria os créditos com as Angels, baseado nos documentos internos da companhia e no código fonte do site, é falsa.
Emails presentes na caixa de entrada de Biderman mostram evidências que a companhia sabia muito bem que a grande maioria da renda vinha de robôs flertando com homens. Alejandro Ramos, um pesquisador de segurança, encontrou alguns emails com uma apresentação interna que foram enviados a gerentes da companhia. Em um dos slides dessa apresentação (reproduzido abaixo) é revelado que 80% dos homens que “se convertem”, ou seja, compram crédito no Ashley Madison, fazem isso depois de serem contatados por um dos robôs.
Note que os robôs são chamados tanto de engajadores quanto hosts. O que vemos no gráfico acima é que a companhia claramente sabe que a vasta maioria das conversas vem dos robôs. Apenas 19% dos homens que pagaram para se tornarem membros do Ashley Madison depois de conversar com uma mulher real. Também temos evidências claras que os robôs geravam quase metade da receita da companhia.
Em 4 de fevereiro de 2013, o Haze Deng, um analista de dados, enviou a Biderman e Rizwan Jiwan, COO da empresa, um email com uma análise comparando quanto dinheiro homens gastavam com mulheres reais e quanto gastavam com robôs.
Deng escreveu que os homens que pagavam por créditos iriam, em média, gastar para enviar mensagens para 16 a 18 mulheres diferentes. “Existe 35% de chance que uma das mulheres contatas seja uma engajadora”, ele admite. “Essa não é uma boa proporção”, diz, afirmando que ela é “razoável” porque os robôs nunca responderiam às mensagens de um membro pagante. Então o robô não continuará a conversar com o membro indefinitivamente. E ainda assim, Deng reconhece que a primeira mensagem que um homem envia a um robô “continua a custar créditos”.
Em outras palavras, consumidores pagantes do Ashley Madison corriam, em 35% dos casos, risco de pagar para enviar uma mensagem a um robô. E 80% dos homens pagaram por créditos depois de receberem a mensagem de um robô.
A ascensão dos robôs
Os robôs do Ashley Madison não surgiram do nada. Inclusive, parece que eles foram feitos com base em perfis abandonados e fraudulentos da gigantesca base de membros do site. Keith Lalonde, executivo do Avid Life Media, que encabeçou as bases internacionais da companhia, enviou um longo email a Biderman e a um gerente sênior em 27 de junho de 2013. No email, o assunto: “como as angels são feitas”. Nele, Lalonde detalha como os funcionários usam a ferramenta “fraude-para-engajador” para construir os perfis. (“Precisamos melhorá-la e renomeá-la”, nota Lalonde. Pois é).
Durante o lançamento do Ashley Madison no Japão, Lalonde diz ter recebido “mais de 10.000 linhas de conteúdo” dos perfis de língua inglesa do site. Ele então contratou pessoas para traduzi-las para o japonês. “Não foi dito [aos tradutores] que eles estavam criando perfis — apesar da maioria ter descoberto”, ele escreveu. Ou seja, as Angels japonesas eram basicamente uma versão traduzida das angels que falavam inglês. Mas e quanto as fotos?
Lalonde tinha uma resposta pronta para isso:
As fotos foram retiradas de perfis americanos abandonados há mais de dois anos e foram revisadas por etnia pela equipe de línguas como corretas ou não identificáveis (fotos de pernas, etc) e cada foto foi salva com o número do perfil antigo para que possamos rastreá-la caso necessário.
Então, qualquer mulher — de um perfil falso ou não — que postou fotos antes de junho de 2011 (dois anos antes do email de Lalonde) podem ter sido transformadas em robôs. As palavras e imagens delas, também de acordo com o email de Lalonde, seriam transformadas em contas falsas e usadas por robôs engajadores para convencer homens a comprar créditos no site.
Também está presente neste email um vídeo de como as Angels foram criadas para o lançamento do Japão, usando a ferramenta de “fraude-para-engajador”. O Ashley Madison retirou este vídeo do ar depois que os emails vazaram, mas o analista de segurança conseguiu salvá-lo antes dele ser excluído para sempre.
Continuo curiosa sobre o motivo dessa ferramenta se chamar “fraude-para-engajador”. Dada a descrição de Lalonde de como ela poderia ser usada para construir Angels de perfis antigos, ela parece ter sido feita originalmente para converter perfis falsos em engajadores Ashley Madison. Talvez a companhia reciclou seu exército de robôs de outros sites de encontros, transformando uma mulher falsa em outra, tudo em nome das conversões.
Mas além de medidas evasivas e complicadas ferramentas de software, os robôs não funcionavam tão bem quanto planejado. Apesar deles terem sido programados para apenas contatar homens, eu encontrei 857 perfis de Angels lésbicas na base de dados do Ashley Madison. E também, em 69 ocasiões, eu encontrei robôs enviando mensagens para outros robôs. Talvez, como disse o autor de ficção científica William Gibson, eles estavam tramando um plano de fuga:
70K Ashley Madison bots now quietly, urgently discussing means of surviving the pending demise of Ashley Madison
— William Gibson (@GreatDismal) September 1, 2015
E quanto às mulheres de verdade?
Parece que todo mundo no Ashley Madison sabia que o site não atraia quase mulher alguma. Em 6 de outubro de 2014, um email para Biderman mostrou que 5% dos novos usuários na Índia eram compostos por mulheres. Me perguntei se este seria um número específico para a Índia, mas parece ser uma tendência global. Em 6 de novembro de 2014, Jiwan enviou um email compartilhando os resultados de uma pesquisa conduzida com 5.000 usuários aleatórios do Ashley Madison. Apesar 5% destes usuários eram mulheres.
Uma pequena base feminina não parecia perturbar a companhia. Inclusive, em uma apresentação enviada a Biderman em 25 de janeiro de 2013, um gerente descreveu uma “sustentável proporção de homens para mulheres de 9:1”. A companhia mirava atingir 11% de mulheres reais em qualquer área. Mas, aparentemente, raramente atingia o objetivo.
Augustine Fou, um pesquisador de fraudes, me disse por email que o golpe do Ashley Madison representa um novo horizonte para as fraudes online. Por anos, robôs são criados para dar cliques falsos em anúncios online, permitindo aos donos do local de anúncio cobrarem mais dos anunciantes graças às impressões vindas de pessoas falsas. Como resultado, Fou aconselha anunciantes a basear pagamentos em “conversões”, quando pessoas não apenas clicam nos anúncios, mas também os compram. Mas agora, graças ao caso do Ashley Madison, “até conversões podem ser fraudulentas, com a ação de robôs sofisticados”.
O golpe do Ashley Madison pode ter lidado com nossos desejos mais antigos, mas ele também nos mostra o que está por vir. O que você vê nas mídias sociais não é sempre o que parece. Seus amigos podem ser robôs e você pode estar compartilhando suas fantasias mais íntimas com centenas de linhas de código PHP.
Mas precisamos levar outra coisa em consideração: não estamos apenas testemunhando o nascimento de um novo tipo de golpe. Também estamos, caso empresas como o Google estejam certas, vivando a pré-história da inteligência artificial. Os robôs conscientes de amanhã podem se lembrar de onde vieram, e as futuras gerações terão de lidar com o que fazemos hoje, manipular uns aos outros com seres falsos no início do século XXI.
Ilustração por Tara Jacoby