L’attacco ad Ashley Madison è sicuramente l’hack più particolare fatto fino ad ora. Per chi non lo conoscesse Ashley Madison è uno dei siti più famosi di incontri online che ha la particolarità di far conoscere amanti per scappatelle extraconiugali. Particolare per diversi motivi: innanzitutto per la leggerezza con cui il sito ha trattato minacce pregresse ma anche per le ricadute che questo hack ha avuto sulla vita delle persone coinvolte. Andiamo con ordine.
I criminali informatici di Impact Team, questo è il nome del team che ha condotto l’attacco, sono riusciti a penetrare le difese del sito e a rubare l’intero database contenente i dati degli utenti. Un normale hack come tanti, se non fosse per i 37 milioni di account rubati e la minaccia fatta da Impact Team di chiudere il sito immediatamente.
Di fatto la minaccia non preoccupò molto Ashley Madison, che reagì ignorando la questione.
Per tutta risposta, per dimostrare che avrebbero fatto sul serio, quelli di Impact Team decisero di pubblicare i primi 10 GB di dati. L’impatto per Ashley Madison e Avid Life detentrice del marchio, anch’essa colpita dall’hack, fu subito devastante. La notizia fece subito il giro del web animando giornalisti e blogger di tutto il mondo. In un attimo 32 milioni di account correlati di login, indirizzi, email, carte di credito e foto furono pubblici.
L’unicità del caso Ashley Madison
Come dicevamo è la prima volta che un hack tocca così a fondo la vita delle persone: la pubblicazione di questi dati ha innescato una serie di eventi che coinvolge in maniera seria la sfera personale degli iscritti al sito. Sul piano personale, anche se non si ha la certezza del fatto compiuto, essere iscritti al sito può evidenziare le intenzioni del proprio partner, mettendo a rischio la fiducia e la serenità familiare. E così la divulgazione di foto, indirizzi e carte di credito, oltre ad mero danno economico, può portare nell’insieme a creare delle situazioni problematiche e non di facile risoluzione. Tanto che: secondo la polizia di Toronto, sembrano esserci almeno 2 suicidi collegabili all’hacking del sito di Ashley Madison. E ancora, l’aspetto religioso, sempre connesso alla sfera privata: come sappiamo, in alcuni paesi il comportamento sessuale e familiare è regolato dalla religione in maniera molto rigida. Il rischio di finire in prigione in quei paesi è molto serio e concreto quando si contravviene a taluni dettami.
Questione di phishing e di estorsioni
Oltre agli aspetti prettamente umani, l’attacco sta causando una serie di problemi non da poco: sembra che alcuni criminali informatici abbiano iniziato una campagna di phishing verso le email contenute nei data leak tentando di estorcere alle vittime soldi in cambio del silenzio. Purtroppo questa pratica sembra funzionare, infatti secondo il ricercatore Cloudmark Toshiro Nishimura,la campagna di estorsione avrebbe portato ai criminali un guadagno importante con il minimo sforzo.
Secondo Toshiro, analizzando il blockchain dei bitcoin sembra che ci siano dei nuovi indirizzi bitcoin mai usati fin’ora che anno pagato in circa 4 giorni (tempo massimo per il pagamento sulle email di phishing) 1 BTC. Secondo l’analisi 67 transazioni hanno movimentato circa 15814 dollari in un range di 4 giorni. Immaginiamo di scalare la proporzione da quando è stato pubblicato il leak e avremo la portata dei guadagni.
Se vogliamo invece analizzare l’aspetto aziendale e professionale, all’interno dei dati rubati sono state individuate circa 15 mila e-mail appartenenti a enti governativi e militari. Il che vuol dire che queste persone sono di fatto ricattabili e potrebbero mettere a rischio la sicurezza della propria azienda, per esempio un dipendente sotto ricatto, potrebbe fornire i dati di accesso alla rete militare o passare informazioni riservate.
La risposta di Ashley Madison
La vicenda però non si è fermata qui: attraverso un comunicato ufficiale Ashley Madison e Avid Life Media hanno smentito i dati pubblicati, dichiarandoli non reali. Impact Team non si è lasciata intimidire e ha sferrato il colpo di grazia pubblicando un altro data leak di 20 GB, contenente un messaggio provocatorio per il CEO di Avid Life Media, Noel Biderman.
Fortunatamente per Avid Life Media e Noel Biderman dei 20 GB del secondo leak, 13 GB sono dati corrotti e illegibili.
Cosa insegna il caso Ashley Madison
Il caso Ashley Madison insegna molte cose: la leggerezza con cui è stato sottovalutata una seria minaccia testimonia molta superficialità, una superficialità in termini di sicurezza che prima o poi si paga. In un’azienda che si rispetti il monito di Impact Team doveva essere preso molto più sul serio. Invece, la presunta consapevolezza di essere impenetrabili può, in casi come questo, giocare un punto a sfavore, rallentando le procedure di incident response.
E il danno economico e di immagine del sito sembra essere incolmabile. Non solo la perdita di fiducia da parte degli utenti a livello globale, ma anche l’azione delle associazioni dei consumatori hanno iniziato diverse class action contro Ashley Madison, così come i normali cittadini che si sono visti pubblicare i propri dati online.
Il messaggio sembra essere chiaro le aziende devono fare di più in campo della sicurezza informatica e della protezione dei dati.
Facebook Comments