venerdì 28 agosto 2015

Tradimenti Online: Hackerato Ashley Madison

Un attacco hacker messo a segno qualche giorno fa ai danni dei server di Ashley Madison, il sito di incontri per persone in cerca di tradimenti, ha messo a nudo i dati sensibili degli iscritti.
Tra i dati sottratti e pubblicati sul ‘Deep Web’(occhio ai siti che permettono di accedere ai database pagando!), ci sono nomi, indirizzi email, numeri di telefono e preferenze sessuali degli iscritti, tra cui anche funzionari di governi e di istituzioni americane ed europee.
Il sito è molto conosciuto ed utilizzato anche in Italia. I dati diffusi on-line, intanto, riguardano 32milioni in totale. Lo ha fatto sapere la polizia di Toronto, in Canada, secondo cui tra gli effetti dell’attacco hacker ci sono stati ricatti a persone intenzionate a impedire che la propria infedeltà fosse resa pubblica. Intanto Avid Life Media, la compagnia proprietaria del sito, ha offerto una ricompensa di circa 380mila dollari per chi permetterà di rintracciare gli hacker.
Il rischio che la situazione finisse in tragedia lo aveva predetto la settimana scorsa l’analista Brian Krebs: «C’è una possibilità reale che la gente reagisca in modo eccessivo. Non sarei sorpreso se delle persone si togliessero la vita a causa di tutto ciò».
Pare che, ad oggi, ci siano stati già 3 suicidi (in Canada) come conseguenza di ciò.
Due studi legali del Canada hanno inoltre avviato una class action da 578 milioni di dollari contro il sito. La causa, intentata contro la Avid Life Media, sarebbe stata avviata per conto di tutti i cittadini canadesi coinvolti. «Sono indignato dal fatto che AshleyMadison.com non sia riuscito a proteggere le informazioni dei suoi clienti», ha detto l’avvocato Ted Charney, che ha presentato il procedimento in tribunale giovedì scorso. Pare anche che lo stesso sito creasse profili falsi(bot) di donne quindi "le utenti" di sesso femminile erano molto meno rispetto a quello che sembrava (questa comunque è una piaga di molti siti ed app simili, tra tutti Tinder, piena di bot).
Pare che ci sia anche, chi, cavalcando l'onda è pronto a farne una serie TV chiamata "Thank You, Ashley Madison"


E' IN ITALIA?
In Italia ci sono più iscritti nelle seguenti città: Milano, Treviso, Bari, Torino, Bologna e Catania che sono le città più “rosse”, dove cioè la concentrazioni di utenti è maggiore(in rapporto anche alla popolazione). Ma anche Roma, Cagliari, Padova, Verona e Palermo non sono da meno, conquistando i bollini arancioni.


RICATTI
Gli utenti stanno ricevendo mail ricattatorie che chiedono soldi (circa 200 euro, in Bitcoin) con la minaccia di rivelare tutto ad amici, parenti e datori di lavoro.
I ricattatori stanno confrontando i dati dell'hack con i profili Facebook per risalire alle identità di ciascuno. Altre mail chiedono invece soldi in cambio di un aiuto a eliminare il proprio nome dai dati trafugati e sono senza dubbio una truffa. I dati sono infatti ormai disponibili sia sul Deep Web che su Torrent (dove circolano diversi file, tra cui il più condiviso sembra The Complete Ashley Madison Dump From The Impact Team, da 9.69 GB, pubblicato otto giorni fa). Altre truffe che girano: da mail di phishing inviate ai colpevoli (con link che risolverebbero il problema, trattasi invece di malware) passando per files infetti e database che permetterebbero di scovare la lista invece sono siti infetti.
Le società di antivirus stanno mettendo nella blacklist siti come ashleymadisonaccounts.com e ashleymadisonlegalaction.com Il consiglio è di non collegarsi a siti dedicati alla vicenda e di ignorare le mail che la citano.


CHI C'E' DIETRO?
Intanto, procedono le investigazioni per scoprire il colpevole, cioè chi si cela dietro il nome Impact Team, che ha firmato l'attacco. Nome che non risulta conosciuto nell'ambiente, quindi potrebbe essere usato solo in questa occasione. Il giornalista investigativo Brian Krebs ha una pista: il colpevole potrebbe essere l'hacker che si nasconde dietro il nome di Thadeus Zu, già autore di diversi attacchi informatici. Ha scoperto infatti che nei suoi tweet è stato tra i primissimi a rivelare i link ai dati rubati (prima che la notizia diventasse pubblica). Un altro indizio è la passione per la canzone Thunderstrock degli AC/DC, presente nei messaggi di Impact Media. Thadeus l'ha usata infatti in un paio dei propri messaggi di accompagnamento agli attacchi che ha firmato. Thadeus (di cui non si sa ancora l'identità) però nega tutto, dicendo che non ci sono prove della sua colpevolezza. Invece secondo John McAfee, dietro a tutto ciò, non ci sarebbe un gruppo di hacker ma una dipendente dell'azienda stessa, che ha deciso di rivelare i dati degli iscritti. "Dai dati che sono stati diffusi è chiaro che il colpevole avesse un'accurata conoscenza dei software utilizzati dalla societa'", ha sottolineato in un editoriale pubblicato sull'International Business Times. La talpa potrebbe aver agito semplicemente salvando su un server esterno i dati degli iscritti. L'esperto ha spiegato di aver analizzato le comunicazioni che hanno preceduto la diffusione dei dati. In particolare, alcuni termini utilizzati e il riferimento a San Valentino lo hanno convinto a ritenere che la responsabile del furto sia una donna. Secondo i media, tra i nomi più noti legati a Washington ci sarebbe anche quello di Hunter Biden, il figlio del vicepresidente Joe Biden. Parlando con Abc, oggi il 45enne ha dichiarato che "l'account è stato chiaramente creato da altre persone senza che ne fosse a conoscenza".


SICUREZZA, QUESTA SCONOSCIUTA
Pare che la società aveva un approccio quantomeno dubbio alla sicurezza. Se da una parte criptava le password degli utenti e teneva solo le ultime quattro cifre delle carte di credito, dall'altra non proteggeva allo stesso modo nomi e indirizzi e-mail degli utenti. Ben 765.607 password risultano inoltre non crittografate. Ancora una volta la vicenda Ashley Madison insegna una lezione che i comuni utenti internet faticano ad apprendere: è sempre rischioso affidare i nostri dati a una piattaforma online. Né è possibile fidarsi completamente delle misure di sicurezza messe in campo per proteggerli

Nessun commento:

Posta un commento