Ashley Madison created thousands of fake profiles to get more money from its users

grafico1-2

At least 71.618 fake profiles of the Canada-based online dating service Ashley Madison were created from e-mail addresses linked to the company owning the service between 2011 and 2015. 89% of those profiles correspond to women.

At least 71.618 fake profiles of the Canada-based online dating service Ashley Madison were created from e-mail addresses linked to the company owning the service between 2011 and 2015. 89% of those profiles correspond to women. These accounts are associated to the domains ALMLABS.COM, AVIDLIFEMEDIA.COM y ASHLEYMADISON.COM, registered by Avid Life Media, the company based in Canada that owns Ashley Madison.

english1

In Spain there are 1,899 profiles associated to e-mail accounts from this domain. 93% of them are female profiles. 40% were created in one go in May 2013. That summer, the company also broadcast ads on TV. Ashley Madison’s income went from €2,500 in the first six months of 2013 to €50,000 in the last six months, according to our analysis of the leaked transactions.

english2

EL ESPAÑOL’s Data Team has drawn up a detailed analysis of the first leak of 10GB of data, uncovered by The Impact Team. The content of the database contains around 37 million entries with personal user information and business transactions.

EL ESPAÑOL has decided not publish the nicknames, credit card details or personal data of any of the real users of the Canadian company out of respect for their privacy.

An Italian in Móstoles

Few cases better reflect Ashley Madison’s false identity strategy than that of the user identified on the website with the nickname ‘ella2912353’. According to the data set leaked by The Impact Team, this account was created with the e-mail address ‘host@almlabs.com’. The profile, which is still active, claims to be that of a 44-year old woman living in Móstoles (Madrid). But the images of the user are really photos of the Italian soloist Cristina Scabbia, who sings with the band Lacuna Coil, and can be easily found online. There are 15,739 profiles on Ashley Madison associated to the same e-mail address.

ashly_captura

Other profiles associated to this domain include a nickname together with a false user. The profile labelled “Linda084”, for example, is linked to the e-mail address “stella+linda084@almlabs.com”. Up to 4.921 profiles that use these aliases are linked to just 81 nicknames. This behaviour follows a regular pattern for managing many e-mail accounts in a simple manner. On receiving a message, the recipient very quickly identifies the source or the profile from which he is receiving the messages. The profiles associated to that type of e-mail address with an alias are no longer active but the entries have not been deleted from the database, and nor have the user accounts who paid for the service.

According to a report on Canadian TV, a former employee of Ashley Madison called Doriana Silva sued the company in 2014 alleging wrist and forearm damage after having to create more than 1,000 female profiles in 2011. The company counter-sued Silva in the same year for revealing corporate information when she presented the profiles she had created as proof. Ashley Madison is claiming $100,000 in damages, arguing those profiles are “quality assurance” to check the “consistency and reliability” of the site before launching the Brazilian version in 2011.

In the database leaked by The Impact Team, there are nine profiles linked to the e-mail address ‘doriana.silva@avidlifemedia.com’ and two linked to ‘doriana@almlabs.com’: one (created in March 2011), for a 65-year old man who lives in Toronto and the other (created in June of the same year), for a 45-year old woman living in Melbourne.

Ashley Madison does not verify user e-mail addresses when they register for the site, so the appearance of an e-mail in the database does not mean the person who owns the account joined of his or her own account.

Ashley Madison’s terms and conditions do include a clause that specifies they may create false profiles to encourage user participation. In those false profiles, though, at no point is it mentioned that they were created to that end. In this way, registered users cannot know if contacts they make on the site or the messages they receive are from fictitious accounts.

As soon as he creates an account on Ashley Madison, a man who expresses a preference for women begins to get messages from female profiles of doubtful origin, at the rate of approximately one a week, according to our analysis. To be able to interact with the women who appear in those profiles and even to read one of their messages, the man must pay, using a payment system to purchase credits that can be exchanged for messages. There are three packages: the €273,90 version includes 1,000 credits, the €163,90 version 500 credits and the cheapest version at €53,90 gets 100 credits.

In March 2015, Ashley Madison was accused of sending messages to its paying users via false profiles. The company’s CEO, Noel Biderman, denied the accusations.

4,400 Paying Users

In Spain, there are 4,400 e-mail addresses linked to business transactions that were made on the website between 2008 and June 2015. Fewer than 100 of these accounts are identified as women.

Ashley Madison generated around €660,000 income from accounts linked to Spain. The company made more than 169 million dollars between 2011 and 2014 worldwide.

The profile that spent most money on Ashley Madison from Spain corresponds to a 44-year old man purchasing from Barcelona. He spent more than €5,000 across 17 payments between February and November 2014. He is not the only one. At least 27 accounts linked to Spain spent more than €1,000 in total. They are all identified as men on the website.

Women As Advertising

Despite Ashley Madison’s ad campaigns, largely oriented towards a female audience, analysis of the leaked database reveals that only 7.4% of profiles identified as women. In Spain, the percentage is even lower: 4.8%.

In the summer of 2011, Ashley Madison was a big story thanks to ad campaigns that included photos of King Juan Carlos, Prince Charles and Bill Clinton. A few months later, in February 2012, they did another campaign with a photo of Queen Sofía. Despite the media attention, the number of registered users and turnover did not increase in line with coverage of their campaigns.

The main website uses women as bait to attract customers. Most of the six profiles (between four and six) suggested to a user on visiting Ashley Madison are women. If the sample were more representative, only one woman should appear, and then only from time to time.

Ashley Madison declined to comment either on the data leak or on how its business works when contacted by EL ESPAÑOL.

Traducción: Matthew Bennett

Así creó Ashley Madison miles de cuentas falsas para sacar más dinero a sus usuarios

grafico1-2

Al menos 71.618 perfiles fueron creados desde direcciones de correo vinculadas a Ashley Madison entre julio de 2011 y julio de 2015. El 89% de esos perfiles corresponden a mujeres.

Aquí puedes leer esta exclusiva en inglés:

    Al menos 71.618 perfiles fueron creados desde direcciones de correo vinculadas a Ashley Madison entre julio de 2011 y julio de 2015. El 89% de esos perfiles corresponden a mujeres. Estas cuentas están asociadas a los dominios  ALMLABS.COM, AVIDLIFEMEDIA.COM y ASHLEYMADISON.COM, registrados por Avid Life Media, la empresa con sede en Canadá que es la propietaria de Ashley Madison.
    grafico1-2

    En España hay 1.899 perfiles asociados a cuentas de correo de estos dominios. El 93% son perfiles femeninos. El 40% fueron creados de una sola tacada durante el mes de mayo de 2013. Durante ese verano, la empresa emitió también anuncios en televisión. Ashley Madison pasó de ingresar unos 2.500 euros en los seis primeros meses de 2013 a generar unos 50.000 en los seis últimos, según el análisis de las transacciones filtradas.

    grafico2-1

    La Unidad de Datos de EL ESPAÑOL ha elaborado un análisis detallado de la primera filtración de 10 gigabytes de datos, destapada por el grupo The Impact Team. El contenido de esta base de datos incluye unos 37 millones de registros con información personal de los usuarios y con sus transacciones económicas.

    EL ESPAÑOL ha decidido no publicar ni los nicknames ni las tarjetas de crédito ni los datos personales de ninguno de los usuarios reales de la empresa canadiense por respeto a su intimidad.

    Una italiana de Móstoles

    Pocos casos reflejan mejor la estrategia de identidades falsas de Ashley Madison que el del usuario que se identifica en la web con el nickname ‘ella2912353’. Según la base de datos filtrada por The Impact Team, esta cuenta se registró con la dirección de correo electrónico ‘host@almlabs.com’. Este perfil, que continúa activo, dice vivir en Móstoles y tener 44 años. Pero las imágenes del usuario se corresponden con fotografías de la cantante Cristina Scabbia, solista del grupo italiano Lacuna Coil, y se pueden encontrar fácilmente en Internet. Hay 15.739 perfiles en Ashley Madison asociados a esa misma dirección.

    “Busco la química, la pasión y una conexión verdadera”, escribe quien redactó el perfil falso ‘ella2912353’, que se identifica como una mujer que pesa 55 kilos y mide 1,68. “Algo que se quede a medias de eso, no vale mi tiempo”, prosigue. “No quiero aparecer como una diva aquí. Sólo soy una mujer atractiva y segura que está harta de leer cientos de correos electrónicos sin interés por día. Dime algo listo. Demuéstrame algo de personalidad y despertarás mi interés”.

    ashly_captura

    Otros perfiles asociados a este dominio incluyen un nombre de pila junto al nombre del usuario falso. Por ejemplo, el usuario “Linda084” está vinculado al correo “stella+linda084@almlabs.com”. Hasta 4.927 perfiles que usan estos alias están ligados a 81 nombres de pila. Esta forma de actuar sigue un patrón habitual a la hora de gestionar de forma sencilla muchas cuentas de correo electrónico. Al recibir un mensaje, el receptor identifica muy deprisa la fuente o el perfil desde el que recibe los mensajes. Hoy los perfiles asociados a estos tipos de correos con alias ya no se encuentran activos pero sus registros no han sido borrados de la base de datos.

    Según la televisión canadiense, la ex empleada de Ashley Madison Doriana Silva denunció a la empresa en 2014 alegando que se había dañado las muñecas y antebrazos al tener que escribir más de 1.000 perfiles femeninos falsos durante 2011. La empresa demandó a su vez a Silva en 2014 por revelar información de la empresa al presentar como prueba los perfiles que había escrito. Ashley Madison le reclama 100.000 dólares por daños y perjuicios. Argumenta que esos perfiles son “pruebas de calidad” para comprobar la “consistencia y la fiabilidad” del sitio a la hora de lanzar la versión brasileña en 2011.

    En la base de datos filtrada por The Impact Team sólo aparecen nueve perfiles asociados a la cuenta ‘doriana.silva@avidlifemedia.com’ y otros dos a “doriana@almlabs.com“: uno de un hombre de 65 años que reside en Toronto y que se creó en marzo de 2011 y otro creado en junio de ese mismo año de una mujer de 45 años que vive en Melbourne.

    Ashley Madison no verifica los correos electrónicos de los usuarios que se inscriben en su página. Que el nombre de una persona aparezca en las bases de datos no quiere decir que la persona detrás de esa cuenta se haya apuntado por su propia iniciativa.

    Las condiciones de uso de Ashley Madison sí incluyen una cláusula que especifica que pueden crear perfiles falsos para fomentar la participación de los usuarios. En esos perfiles falsos no se dice en ningún momento que se hayan creado con ese fin. De esta manera, los usuarios registrados no pueden saber si los contactos que hacen en la página o los mensajes que reciben llegan de este tipo de cuentas ficticias.

    Nada más crear la cuenta en Ashley Madison, un hombre al que le interesan las mujeres empieza a recibir mensajes de perfiles femeninos de dudosa identidad. Más o menos uno al día, según pudo comprobar este periódico. Para poder interactuar con las mujeres que aparecen en esos perfiles e incluso para leer uno de sus mensajes, es necesario pasar antes  por caja. Así lo indica una pasarela de pago donde se adquieren lo que la página denomina créditos, que se canjean por mensajes. Existen tres paquetes: el de 273,90 euros incluye 1.000 créditos y el de 163,90 euros da acceso a 500. El más barato incluye 100 créditos y requiere pagar 53,90 euros.

    En marzo de 2015, Ashley Madison fue acusada de enviar mensajes a sus usuarios de pago por medio de perfiles falsos. El consejero delegado de la empresa, Noel Biderman, rechazó estas acusaciones.

    4.400 usuarios de pago

    En España hay unas 4.400 cuentas de correo electrónico asociadas a transacciones económicas que se han hecho desde la página web de contactos desde 2008 hasta junio de 2015. Menos de 100 de estas cuentas se identifican como mujeres.

    El análisis de los pagos filtrados muestra cómo Ashley Madison ingresó desde cuentas asociadas a España al menos 660.000 dólares. A nivel mundial, estos datos se elevan hasta más de 169 millones de dólares entre 2011 y 2014.

    El perfil que más gastó en Ashley Madison desde España corresponde a un hombre que fija su edad en 44 años y que hace las transacciones desde Barcelona. La suma de sus compras asciende a casi 5.000 euros repartidos en 17 pagos entre febrero y noviembre de 2014. No es el único. Al menos 27 cuentas asociadas a España superan los 1.000 euros de gasto total. Todas se identifican como hombres en la página web.

    Las mujeres como reclamo

    A pesar de las campañas de publicidad de Ashley Madison, orientadas en su mayoría al público femenino, el análisis de la base de datos filtrada revela que el 14% de los usuarios declararon ser mujeres. En España ese porcentaje es aún menor: apenas el 9%.

    Durante el verano de 2011, Ashley Madison consiguió relevancia mediática gracias a campañas donde incluía imágenes del Rey Juan Carlos I, de Carlos de Inglaterra y de Bill Clinton. Unos meses después, en febrero de 2012, hizo otra campaña con la imagen de la Reina Sofía. A pesar de este revuelo mediático, el número de inscritos en el portal y su facturación no tuvo un crecimiento similar al de su presencia en los medios.

    La página principal utiliza el reclamo de las mujeres para atraer clientes. La mayoría de los seis perfiles que se le sugieren al usuario al abrir Ashley Madison son perfiles de mujeres.

    Según ha podido comprobar EL ESPAÑOL, entre cuatro y seis. Si la muestra fuera representativa, debería aparecer solo una mujer. Ashley Madison no ha querido realizar ninguna declaración a este periódico ni sobre la filtración de sus datos ni sobre el funcionamiento de la empresa.

    Aquí puedes leer esta exclusiva en inglés:

    Ashley Madison, ¿víctima o responsable?

    A photo illustration shows the Ashley Madison website displayed on a smartphone in Toronto

    ¿Son los supuestos y misteriosos miembros de Impact Team unos activistas que se preocupan por la moralidad y la seguridad de los usuarios o son los responsables de una extorsión en toda regla? ¿Es la matriz de Ashley Madison, la compañía canadiense Avid Life Media, una víctima del ataque o la que ha fallado estrepitosamente en la custodia de los datos más sensibles de sus clientes, que confiaban en su supuesta “seguridad al 100%”?

    Con la filtración de información de millones y millones de cuentas de la red social Ashley Madison se ha destapado una cantidad ingente de datos personales -muchos de ellos comprobados como reales– cuyos dueños confiaban en la discreción del servicio. La acción, reivindicada por un oscuro grupo autodenominado Impact Team, ha acaparado la atención mundial, en parte debido a la naturaleza de los datos expuestos: el objetivo que publicita esta red social es facilitar la infidelidad.

    En un comunicado, Avid Life Media, sociedad matriz del portal, afirmaba esta semana: “Este evento no es un acto de hacktivismo, es un acto criminal, es una acción ilegal contra los miembros individuales de Ashley Madison, así como contra cualquier empresa que libremente elige participar en actividades en línea totalmente legales”. “El criminal o criminales que participan en este acto se han nombrado a sí mismos jueces, jurados y verdugos de la moralidad […] No vamos a permitir a estos ladrones que impongan su ideología personal sobre ciudadanos de todo el mundo”.

    En el otro extremo, los hackers razonaban de otro modo. “¿Se encuentra usted en esta lista?”, pregunta Impact Team a los usuarios que ha colocado bajo el foco publico. Y añade: “Fue Avid Life Media quien le falló y le mintió. Demande y reclame daños y perjuicios. Luego siga adelante con su vida. Aprenda la lección y haga las paces. Será vergonzoso ahora, pero lo superará”.

    La información que se puede encontrar en los 9,7 GB de datos filtrados inicialmente (habrá muchos más; en una entrevista los miembros de Impact Team aseguran tener hasta 300 GB de datos internos de la compañía, decenas de miles de fotos ‘íntimas’ de usuarios, contenidos de chats…) profundiza en multitud de detalles personales. La lista es interminable: supuestos nombres, direcciones postales, transacciones con fecha y cantidad, algunas geolocalizaciones, hábitos personales y, de forma extremadamente pormenorizada, las costumbres y tendencias sexuales. Todo ello proporcionado a Ashley Madison por los clientes de la red social.

    Suponiendo que toda esa información sea auténtica, “estamos hablando de datos especialmente protegidos, como son las preferencias sexuales”, comenta el abogado especializado en internet Carlos Sánchez Almeida. Efectivamente, en España la Ley Orgánica de Protección de Datos (LOPD) otorga a la información sobre la vida sexual un rango de especial protección.

    La letra pequeña

    Como en todo servicio, existen unos Términos de Uso que el cliente acepta al darse de alta (pocos los leen, por cierto) y que en el caso de Ashley Madison no garantiza que la información que se proporciona o que ellos recopilan no será divulgada a terceros. Es una especie de salvaguardia frente a las filtraciones.

    Samuel Parra y Verónica Alarcón, socios del bufete ePrivacidad, afirman: “En los Términos de Uso una empresa puede poner lo que quiera, pero cualquier tipo de cláusula que sea contraria a la ley se entenderá por no puesta; y algo es contrario a la ley no sólo cuando ésta lo prohíbe, sino también cuando la ley te obliga a hacer algo y tú pactas lo contrario sin cobertura legal”.

    “Esto significa , en el caso de Ashley, que esa cláusula concreta en la que dice que no garantiza que la información no vaya a ser divulgada a terceros no la exime de responsabilidad”, añaden. Y concluyen: “Esa cláusula, como si no existiera”.

    ¿Y la responsabilidad?

    Por la vía administrativa: Almeida sostiene que, aunque pudiera existir una infracción de la LOPD, la Agencia de Protección de Datos “poco o nada puede hacer” contra la matriz de Ashley Madison, situada en Canadá. Samuel Parra, sin embargo, no está de acuerdo: “Ashley Madison tiene la obligación y responsabilidad de mantener seguros los datos personales de sus clientes/usuarios; en España, el tema de la seguridad de los datos personales es una obligación legal para cualquier empresa, ya que así lo indica el artículo 9 de la LOPD”.

    Recuerda el experto que la compañía tiene oficinas en Nicosia (Chipre), “que es, de hecho, donde se ocupan de la privacidad”. “Un ciudadano español no solo podría exigir responsabilidad por la filtración sino también solicitar a la AEPD que se bloquee el acceso al sitio o sitios web donde han colgado la información personal ilícita extraída”, comenta.

    Parra asegura que “Ashley Madison debería hacer todo lo que estuviera en su mano para evitar que terceros no autorizados puedan acceder a la información y en estos casos se suele entender que es una obligación de resultado, de forma que, si al final se difunden datos, se podría entender que no hizo todo lo que estaba en su mano, aunque habría que ver exactamente cómo consiguieron los intrusos esa base de datos”. A su juicio, “esta compañía tendría una responsabilidad administrativa desde el punto de vista de la legislación sobre protección de datos en el caso de que se le aplicasen las leyes españolas”.

    Algo parecido le sucedió a la empresa tecnológica Arsys, que en 2007 sufrió un ciberataque que comprometió datos bancarios, teléfonos y domicilios de miles de usuarios españoles. La compañía fue multada por Protección de Datos precisamente por incumplir su deber de custodiar de dicha información.

    Por la vía civil: La compañía también podría enfrentarse a una acción civil (o varias), aunque sólo en Canadá. Almeida sostiene que esta acción podría materializarse en una class action o acción colectiva, en la que varios afectados se unen y contratan a un gabinete especializado que lleve su caso.

    Por la vía penal: Según Almeida, penalmente sólo se puede actuar contra el o los hackers, es decir, contra el autor de la filtración, salvo que Canadá contemple como delito la negligencia en la custodia de los datos.

    En este sentido, Samuel Parra recuerda que “la responsabilidad de los ciberintrusos es de naturaleza distinta: según la información disponible ahora mismo sobre la intrusión, ellos pueden haber cometido un delito de revelación de secretos tipificado en los artículos 197.2 y 197.3 del Código Penal español, con penas de prisión de hasta cinco años”.