Ashley Madison, por que nossos honeypots têm contas no seu site?

Ela tem 33 anos, é de Los Angeles, 1,82m de altura, sexy, decidida e é uma “mulher que sabe o que quer”, segundo seu perfil. Ela é intrigante. Mas, seu mistério não acaba aí: seu endereço de email é um dos “honeypots” da Trend Micro. Espere… o quê?

Foi assim que descobrimos que os usuários do site Ashley Madison estavam sendo alvos de extorsão online. Enquanto investigávamos os arquivos vazados, identificamos dezenas de perfis no controverso site que usavam endereços de email que pertenciam aos honeypots da Trend Micro. Os perfis em si eram bastante completos: Todos os campos obrigatórios, como gênero, peso, altura, cor dos olhos, cor dos cabelos, tipo de corpo, situação de relacionamento e preferências de encontros estavam lá. O país e cidade especificados combinavam com as informações de longitude e latitude do endereço de IP. Quase metade (43%) dos perfis até mesmo tinha uma descrição de perfil na linguagem nativa de seus supostos países.

Um evento como esse pode deixar várias questões, que respondemos abaixo:

O que é um honeypot?

Honeypots são sistemas de computador projetados para atrair os agressores. Nesse caso, temos emails honeypots feitos para atrair spam. Esses emails honeypots de apenas ficam lá esperando por emails de farmácias questionáveis, golpes de loterias, de príncipe nigeriano morto e outros tipos de emails indesejados. Cada honeypot foi projetado para receber, ele não responde e, com certeza, não se inscreve em sites de adultério.

Por que seu honeypot estava no site Ashley Madison?

A resposta mais simples e direta é: alguém criou os perfis no Ashley Madison usando as contas de email honeypots.

O processo de inscrição no Ashley Madison requer um endereço de email, mas eles realmente não checam se o endereço de email é válido ou se o registro do usuário é do proprietário verdadeiro do endereço de email. Uma simples URL de ativação da conta enviada para o endereço de email é suficiente para verificar o proprietário do endereço de email, enquanto um desafio CAPTCHA durante o processo de registro impede que bots criem contas. Essas duas medidas de segurança não existem no site da Ashley Madison.

Quem criou as contas – bots automatizados ou pessoas?

Observando a base de dados que vazaram, vimos que o Ashley Madison grava o IP de usuários que se inscrevem usando o campo de IP de inscrição. Um bom ponto de partida para investigações. Portanto, eu reuni os endereços de IP usados para registrar nossas contas de email honeypots e verifiquei se outras contas se inscreveram usando esses IPs.

A partir daí, consegui coletar com sucesso cerca de 130 contas que compartilham o mesmo IP de inscrição com nossas contas de email honeypot.

Mas ter apenas os IPs não é o suficiente, eu precisava verificar inscrições de registros em massa, o que significa múltiplas contas inscritas a partir de um só IP durante curtos períodos de tempo.

Ao fazer isso, descobri alguns agrupamentos interessantes…

Figura 1. Perfis criados com endereços IP brasileiros
Figura 1. Perfis criados com endereços IP brasileiros
Figura 2. Perfis criados com endereços IP coreanos
Figura 2. Perfis criados com endereços IP coreanos

Para obter o intervalo de tempo nas tabelas acima, usei o campo “atualizado em”, já que o campo “criado em” não contém uma hora e data em todos os perfis. Também observei que, curiosamente, os campos “criado em” e “atualizado em” desses perfis são praticamente os mesmos.

Como você pode ver, nos grupos acima, vários perfis foram criados a partir de um único IP, em horários com diferenças de minutos. Além disso, parece que o criador é humano, ao invés de ser um bot. A data de nascimento (dob) é repetida (bots tendem a gerar datas de nascimento mais aleatórias comparado a seres humanos).

Outra pista que podemos usar são os nomes de usuários criados. O exemplo 2 mostra o uso de “avee” como um prefixo comum entre dois nomes de usuários. Existem outros perfis no conjunto de exemplos que compartilham características similares. Dois nomes de usuários, “xxsimone” e “Simonexxxx”, foram registrados no mesmo IP e ambos têm a mesma data de nascimento.

Com os dados que eu tenho, parece que os perfis foram criados por seres humanos.

O site Ashley Madison criou as contas?

Talvez, mas não diretamente, é a resposta mais incriminadora em que posso pensar.

Os IPs de inscrição usados para criar perfis são distribuídos em vários países e em linhas DLS de uso pessoal. Porém, o x da minha dúvida é a distribuição de gêneros. Se o Ashley Madison criou os perfis falsos usando nossos emails honeypots, a maioria não deveria ser de mulheres para que eles pudessem usá-los como “anjos”?

Figura 3. Distribuição por gênero de perfis, por país
Figura 3. Distribuição por gênero de perfis, por país

Como você pode ver, apenas 10% dos perfis com endereços honeypots eram de mulheres.

Os perfis também exibiam um viés estranho no ano de nascimento, pois a maioria dos perfis tinha uma data de nascimento ou de 1978 ou 1990. Essa é uma distribuição estranha e sugere que as contas foram criadas para uma variação pré especificada de idade.

Figura 4. Anos de nascimento dos perfis
Figura 4. Anos de nascimento dos perfis

À luz dos vazamentos mais recentes que revelam que o Ashley Madison estava envolvido na terceirização de criação de perfis falsos para penetrar em outros países, a distribuição dos perfis falsos e a tendência de um perfil de determinada faixa de idade sugerem que nossas contas de email honeypots podem ter sido usadas pelos criadores de perfis que trabalham para o Ashley Madison.

Se não foi o Ashley Madison, quem criou esses perfis?

Vamos voltar um pouco. Existem alguns outros grupos que poderiam faturar com a criação de perfis falsos em um site de encontros como o Ashley Madison? A resposta é bem simples – remetentes de spam em fóruns e comentários.

Esses remetentes de spams em comentários e fóruns são conhecidos por criar perfis em sites e poluir tópicos de fóruns e de postagens em blogs com comentários de spam. Os mais avançados são capazes de enviar mensagens de spam diretas.

Vendo que o Ashley Madison não implementa medidas de segurança, tais como emails de ativação de conta e CAPTCHA para repelir esses remetentes de spam, ele deixa a possibilidade de pelo menos alguns desses perfir terem sido criados por esses spambots.

O que essas descobertas significam para mim? Devo ficar preocupado?

Suponha que você nunca se inscreveu, conscientemente, em um site como o Ashley Madison. Você deve estar a salvo de tudo isso, certo?

Bem, não. Muitos desses perfis falsos foram criados usando contas de emails válidas, isto é. endereços de email que pertencem a uma pessoa real, não a um honeypot. Esses endereços de email são conhecidos dos “spambots” e criadores de perfis porque já estão incluídos em uma grande lista de repositórios de emails que os remetentes de spam mantêm (foi assim que nosso email honeypot obteve um perfil no Ashley Madison).

Portanto, se o seu email está em algum lugar da World Wide Web, seja em um site ou em seu perfil do Facebook, então seu endereço de email corre o risco ser tirado e incluído em uma lista que está disponível tanto para remetentes de spam tradicionais de email como de sites… correndo o risco de ter uma conta criada em seu nome em sites como o Ashley Madison.

Como toda a controvérsia acerca do hack do Ashley Madison, a vergonha subsequente dos “membros” e tentativas de chantagem, manter seu endereço de email escondido do público não apenas o colocará a salvo do trabalho de receber emais de príncipes nigeriano, como também de situações complicadas como essa.

Agradeço a dica do Jon Oliver que me apontou esse caminho.

Publicado originalmente por  em TrendLabs.