La température est montée d'un cran pour les adeptes des rencontres adultères inscrits sur le site Ashley Madison. Dimanche, un groupe se faisant appeler Impact Team a publié des documents dérobés chez d'Avid Life Media, la société qui édite, entre autres sites de rencontres, Ashley Madison, Cougar Life et Established Men. Les documents comportent un méli-mélo d'informations allant de détails concernant l'infrastructure IT du site en passant par des données de ventes et marketing et aussi d'autres relatives aux clients. Dans un message accompagnant les données publiées en ligne à plusieurs endroits du Net dimanche soir, Impact Team se moque du directeur technique d'ALM, Trevor Skyes, en rappelant une de ses citations où il fait savoir que la protection des données personnelles est l'une de ses plus grandes préoccupations et qu'il détesterait voir les systèmes informatiques de son entreprise piratés. Or, c'est précisément ce qu'il s'est passé.
« Nous les avons complètement piraté et pris l'ensemble de leurs domaines de production et de bureautique, les bases de données de tous leurs clients sur plusieurs années, les répertoires de code source, des enregistrements financiers, de la documentation et des e-mails. Et cela a été facile. Pour une société qui promet d'être discret, c'est comme si ils n'avaient jamais cherché à l'être », a fait savoir Impact Team. « Avid Life Media a été averti de mettre hors ligne de façon permanente Ashley Madison et Established Men ou nous publierons toutes les données clients, incluant les profils contenant les fantaisies sexuelles couplées aux transactions par cartes de crédit, les vrais noms et adresses ainsi que les documents d'employés et les e-mails. Les autres sites peuvent rester en ligne ».
« Les utilisateurs veulent de la discrétion, ils peuvent payer pour effacer leurs données »
L'une des raisons invoquées par Impact Team pour justifier son attaque contre ALM est l'accusation de « faire du profit sur la souffrance d'autrui. » Afin de prouver l'existence de ce piratage et faire pression sur ALM, 40 Mo de données ont été mis en ligne, incluant des détails partiels de transactions bancaires ainsi que d'autres documents provenant des données serveurs d'ALM. Certains fichiers sont par ailleurs relatifs à des craintes de sécurité multiples émises par la société : défaillance de processus, mise en défaut de la gouvernance, vulnérabilités XSS et par injection SQL, infections de malwares sur le réseau, attaques de type man-in-the-middle... Dans un document volé par Impact Team, on apprend qu'ALM a gagné 1,7 million de dollars en 2014 en facturant 19 dollars les utilisateurs souhaitant faire disparaître leurs informations personnelles sur le site. « Les utilisateurs du service veulent de la discrétion, ils peuvent payer pour détruire toute trace de leur existence sur le site », est-il indiqué dans un slide.
Il est possible que les pirates aient pu travailler pour ALM a un moment donné et aient pu avoir des accès internes légitimes grâce à un contact privilégié. « Il s'agit certainement d'une personne qui n'était pas un employé mais en relation avec nos services techniques », a indiqué Noel Biderman, CEO d'ALM.
Fin mai, la base de données du site AdultFriendFinder contenant 3,9 millions d'adresses mail, piratée en mars dernier, a été mise en vente pour 70 bitcoins.