O curioso caso Ashley Madison e o Seguro Cibernético

Com a evolução da internet nas ultimas duas décadas, outra modalidade de serviço de comunicação e trafego de dados se tornou muito popular: as redes sociais. Atualmente, a variedade de produtos expostos neste mercado é enorme, o que acarreta também em exposições e responsabilidades tanto para as empresas que fornecem este tipo de conteúdo e os seus usuários.
Uma das redes, pouco difundida no Brasil, é o site de relacionamentos extra-conjugais Ashley Madison (www.ashleymadison.com). Sob o slogan de “A vida é curta, curta um caso.” a empresa surgiu em 2001 pelo apoio da Avid Life Media no Canadá e até outubro de 2013 já contava com mais de 22 milhões de usuários e era a 102° pagina da web mais visitada no mundo, de acordo com o report da Alexa Internet Inc daquele mesmo ano. Com o objetivo de promover relacionamentos amorosos para pessoas que já estavam em um, a empresa teve dificuldades para expandir suas atividades para outros países.  A Autoridade de Desenvolvimento de Mídia de Singapura (Singapore’s Media Development Authority – MDA), por exemplo, anunciou em 2014 que não permitiria que a companhia operasse no país, por entender que a rede promovia o adultério e assim desconsiderava os valores básicos da família.
Apesar de alguns entraves, a empresa nunca havia passado por situações realmente críticas até que em Julho de 2015, quando um grupo chamado “The Impact Team” hackeou informações da plataforma sob a ameaça de divulgar a base de usuários com nomes, endereços, telefones e informações de cartão de crédito se o site não fosse imediatamente retirado do ar. O grupo alegava ter duas motivações: a primeira era o repúdio ao objetivo principal do negócio e o segundo era chantagear os usuários, cobrando a quantia de $19.00 para que o mesmo tivesse o privilégio de ter seus dados excluídos da plataforma.  Esta prática de chantagem funcionou, haja vista que em muitos países de cultura islâmica a punição para adultério é o apedrejamento em praça pública.
Conforme aponta uma matéria da Fortune (www.fortune.com) de agosto de 2015, o ataque iniciou uma guerra cibernética entre os hackers e a AVID, que ofereceu uma recompensa de $377.000 para quem identificasse os invasores. Contudo, apesar dos esforços, esta já parecia uma guerra perdida para a AVID e a Ashley Madison, principalmente no aspecto de credibilidade e segurança para os usuários. No final de 2015, o CEO da Avid Life Media Noel Biderman declarou que o grupo estava próximo dos culpados, e acreditava que o ocorrido envolvia ex-empregados como responsáveis. Para corroborar com esta hipótese, na mesma época, a renomada empresa de Anti Virus Jonh McAffe realizou uma análise e concluiu que todos os dados extraviados tiveram início com ex-colaboradora. Ainda nesta mesma entrevista, Biderman disse que explorava alternativas de gerenciamento de risco para evitar que situações desta maneira não ocorressem novamente.
Uma das alternativas de prevenção e remediação de ataques cibernéticos  que poderia ser considerada por Biderman é o seguro de Cyber Risks, que tem por objetivo principal respaldar o cliente contra a divulgação pública de dados privados e/ou corporativos de terceiros sob custódia do segurado. Além do amparo para as reclamações de terceiros lesados pela divulgação de seus dados, o seguro também oferece cobertura para Custos de Defesa, Custos de peritos para investigação dos responsáveis, monitoramento e restituição da imagem da Sociedade Empresarial com comunicados, retratações e anúncios. Outro ponto interessante da apólice que se encaixa muito bem com o caso da AVID é a cobertura para Perda por Extorsão de uma Ameaça de Segurança.
A Ashley Madison é apenas um dos milhares de casos de ataque cibernéticos ocorridos nos últimos anos. Além deste, já houve histórico de situações similares na PSN, Quickstarter, Nasdaq, Adobe, entre outros. Ainda em 2015, a PWC revelou um crescimento de 38% de ataques cibernéticos no mundo, em relação a 2014, na 18° edição da Pesquisa Global de Segurança da Informação comprovando que esta era uma tendência para a segunda metade da década e que buscar alternativas e novas soluções para gerenciar estes riscos é inevitável.

Diego Durão, CPA 20
Especialista de Placement P&C da TRR