Loading AI tools
incidente di sicurezza informatica (2015) Da Wikipedia, l'enciclopedia libera
La fuga di dati Ashley Madison è stato un rilevante episodio di data breach avvenuto nel 2015.
Nel luglio di quell'anno, un sedicente gruppo "The Impact Team", composto di ignoti, annunciò di aver rubato dati di Ashley Madison, un sito a scopo di lucro che asseritamente facilita relazioni extraconiugali. L'hacker (o gli hacker) copiò informazioni personali riguardanti la base utenti del sito e minacciò di diffondere generalità degli utenti e altre informazioni personali identificative, se Ashley Madison non avesse chiuso immediatamente. Per dimostrare che la minaccia era seria, furono inizialmente diffusi dati personali di oltre 2 500 utenti. L'impresa al principio negò che i suoi archivi fossero compromessi, ed anzi continuò l'attività.
A causa della scarsa sicurezza del sito e della prassi di non eliminare le informazioni personali degli utenti — tra cui il nome vero, la residenza, la cronologia di navigazione, e le registrazioni delle transazioni con carta di credito — dal proprio database (anche oltre il periodo in cui tali informazioni erano ovviamente necessarie al sito per eseguire la propria obbligazione contrattuale), molti utenti temettero di vedere infangata la propria reputazione.[1]
Il 18 e il 20 agosto sono stati resi pubblici oltre 60 gigabyte di dati aziendali, compresi i dati degli utenti. I dati diffusi includevano persino informazioni personali di utenti che avevano pagato il sito per cancellare le loro informazioni personali, poiché l'azienda non aveva veramente cancellato i dati che sosteneva di aver cancellato.
The Impact Team annunciò l'attacco il 19 luglio 2015 e minacciò di svelare le identità degli utenti di Ashley Madison se la controllante di quest'ultima, Avid Life Media, non avesse chiuso Ashley Madison assieme al suo sito gemello, "Established Men".[2]
Il 20 luglio 2015, il sito web Ashley Madison pubblicò nella propria sezione "Media" tre dichiarazioni in merito alla violazione (dei dati che avrebbe dovuto custodire). Il suo account Twitter, normalmente piuttosto vivace, si chiuse nel silenzio salvo pubblicare i comunicati stampa.[3] Una delle dichiarazioni diceva:
«Al momento siamo riusciti a mettere in sicurezza i nostri siti e a chiudere i punti di accesso non autorizzati. Stiamo collaborando con le forze dell'ordine, che stanno indagando su questo atto criminale. Tutti i responsabili di questo atto di cyberterrorismo saranno ritenuti responsabili. Utilizzando il Digital Millennium Copyright Act (DMCA), il nostro team è riuscito a rimuovere i post relativi a questo incidente e tutte le informazioni di identificazione personale (PII) sui nostri utenti pubblicate online.[4]»
Il sito offrì anche ai propri utenti la possibilità di cancellare l'account senza la spesa ordinariamente addebitata.
Il 21 luglio "The Impact Team" diffuse le informazioni di oltre 2 500 clienti, ma la società smentì l'asserzione che il suo database principale fosse poco sicuro e fosse stato violato.[5] Tuttavia, furono propalati altri 60 gigabyte di dati il 18 agosto e fu confermato che erano autentici.[6] Le informazioni furono rese disponibili su BitTorrent in forma di archivio compresso da 10 gigabyte; il link fu "postato" su un sito del dark web accessibile attraverso il network di anonimato Tor.[7] I dati erano firmati crittograficamente[8] con una chiave PGP. Nel suo messaggio, il gruppo stigmatizzava Avid Life Media, accusando la ditta di pratiche ingannevoli: "Abbiamo spiegato la frode, l'inganno e la stupidità di ALM e dei suoi membri. Ora tutti possono vedere i loro dati... Peccato che l'ALM abbia promesso segretezza ma non l'abbia mantenuta".[9]
Avid Life Media replicò dichiarando che la società collaborava con le autorità per le indagini, e disse che gli attaccanti non erano "hacktivisti" ma delinquenti.[10] Il 20 agosto 2015 fu reso di pubblico dominio un secondo e più ampio blocco di dati, il cui maggior file consisteva di 12,7 gigabyte di email aziendali, comprese quelle di Noel Biderman, all'epoca (si dimise poco dopo i fatti narrati)[11] amministratore delegato di Avid Life Media.[12]
Nel luglio 2017, Avid Life Media (rinominata Ruby Corporation) accettò di transigere, pagando 11,2 milioni di dollari, una ventina di cause legali scaturite dalla fuga di dati.[13][14]
Non c'era bisogno di verificare l'account sul sito attraverso l'email per creare un profilo, e questo consentiva che spesso si creassero profili con indirizzi mail fasulli. La società che gestiva Ashley Madison imponeva al titolare della casella mail di pagare una somma per cancellare il profilo, impedendo alle persone che si fossero pure ritrovate iscritte senza consenso (per uno scherzo o per un'errata indicazione dell'indirizzo mail) di cancellarsi senza pagare.[15] Gli hacker sostengono che Avid Life Media abbia ricevuto 1,7 milioni di dollari all'anno da persone che pagavano per chiudere i profili degli utenti creati sul sito. L'azienda affermava falsamente che, dietro pagamento, avrebbe "cancellato completamente" i profili, promessa che l'hackeraggio ha dimostrato essere falsa.[15]
Josh Duggar, un ventisettenne divenuto famoso come membro adolescente di una famiglia cristiana conservatrice protagonista di un reality intitolato 19 Kids and Counting, è stato uno dei più noti utenti di Ashley Madison i cui dati sono stati violati. I dati diffusi includevano le registrazioni di quasi mille dollari di transazioni su una carta di credito a suo nome. La notizia del rilascio dei dati ha aggravato i suoi problemi con le rivelazioni fatte all'inizio dell'anno sui rapporti della polizia sulla sua cattiva condotta sessuale; il 20 agosto ha ammesso di essere stato infedele alla moglie.[16][17] La fuga di dati avvenne subito dopo la pubblicazione di un rapporto della polizia in cui si affermava che l'uomo aveva palpeggiato cinque ragazze minorenni, tra cui alcune sue sorelle. Il 25 agosto si fece ricoverare in un centro di riabilitazione.[18][19][20]
Dopo l'hackeraggio, comunità di "giustizieri web" iniziarono a setacciare la Rete in cerca di persone famose da mettere alla gogna.[21] France 24 riferì che nel database divulgato si trovavano 1 200 indirizzi mail sauditi '.sa', i cui titolari erano ancora più ricattabili dato che l'adulterio è punito con la morte in Arabia Saudita.[22] Sul sito erano registrate parecchie migliaia di indirizzi statunitensi .mil e .gov.[23][24][25] Alcuni giorni dopo la fuga di notizie, dei ricattatori cominciarono a minacciare le persone che si erano trovate esposte, tentando di estorcere 200 dollari in bitcoin.[26][27][28] Un'azienda iniziò a proporre un "motore di ricerca" in cui le persone potevano digitare gli indirizzi e-mail dei colleghi o del proprio coniuge nel sito web; se l'indirizzo e-mail era presente nella fuga di notizie del database, l'azienda scriveva al titolare della casella comunicando che i dati sarebbero stati divulgati, a meno che non avesse pagato una somma all'azienda stessa (per chiarezza: la ditta millantava alla persona ricattabile la possibilità di "nascondere", dietro opportuno pagamento, i dati che la compromettevano).[29][30]
Numerosi ricercatori di sicurezza informatica e attivisti della privacy su internet misero in discussione sul piano deontologico il comportamento dei giornalisti che divulgarono i dati in dettaglio, come i nomi degli utenti scoperti come membri.[21][31][32][33] Molti commentatori paragonarono l'hackeraggio al danno alla privacy collegato al furto di foto di celebrità del 2014.[34][35]
Alcuni psicologi clinici sostennero che il clamore di un adulterio (o tradimento sentimentale in genere), divenuto di pubblico dominio, aumenta il dolore morale di coniugi e figli.[36] Carolyn Gregoire sostenne che "i social media hanno creato una cultura aggressiva di pubblica vergogna in cui gli individui si prendono la responsabilità di infliggere danni psicologici" e che il più delle volte "la punizione va oltre la portata del crimine".[36] Graham Cluley sostenne che le conseguenze psicologiche per le persone dileggiate potevano essere immense e che era possibile che qualcuno fosse bullizzato fino a contemplare il suicidio.[37][38] Charles J. Orlando, che si era iscritto al sito per condurre ricerche sulle donne che tradiscono, scrisse di essere preoccupato per i coniugi e i figli dei traditori messi alla gogna, affermando che "la mentalità gregaria che è Internet è più che disposta a fungere da giudice, giuria e boia" e che i membri del sito non meritavano "una fustigazione nella piazza virtuale della città con milioni di spettatori".[39]
Il 24 agosto 2015 la polizia di Toronto annunciò che due "suicidi non confermati" (ovvero, i decessi di due persone che sembravano suicidi) erano legati alla fuga di dati, oltre ai "rapporti di crimini d'odio connessi all'hackeraggio".[40][41] Dei rapporti non confermati riferirono che un uomo negli USA si fosse suicidato.[29] Almeno un suicidio, che in precedenza era stato collegato ad Ashley Madison, è stato successivamente dichiarato come dovuto a "stress interamente legato a problemi di lavoro che non avevano alcun nesso con la fuga di dati".[42] Lo stesso giorno, un pastore e professore presso il New Orleans Baptist Theological Seminary si uccise lasciando un biglietto che citava la fuga di dati della settimana precedente.[43]
Gli utenti colpiti dalla fuga di dati introdussero un'azione collettiva da 567 milioni di dollari contro Avid Dating Life e Avid Media, proprietari di Ashley Madison, attraverso lo studio legale Charney Lawyers and Sutts, Strosberg LLP.[44] Nel luglio del 2017 il proprietario di Ruby Corp. annunciò che l'impresa avrebbe transatto la causa per l'importo di 11,2 milioni di dollari.[45] In un'intervista del 2019 il chief strategy officer di Ashley Madison, Paul Keable, confermò l'attivazione di misure di sicurezza come autenticazione a due fattori, PCI DSS e navigazione (web) completamente crittografata come conseguenza dell'hackeraggio del 2015.[46]
Nel 2024 Netflix diffuse Ashley Madison: Sex, Lies & Scandal, una docu-serie[47] in tre parti sull'evento.[48]
Annalee Newitz, capo redattrice di Gizmodo, analizzò la fuga di dati.[49] Per cominciare, rilevò che solo circa 12 000 (0,2%) dei 5,5 milioni di account femminili venivano usati regolarmente.[50][51] La stragrande maggioranza di account erano stati usati solo una volta, il giorno in cui erano stati registrati. Newitz scoprì pure che molti account di donne erano stati creati dal medesimo indirizzo IP, il che lascia supporre che ci fossero molti account fasulli. Osservò che le donne controllavano i messaggi di posta elettronica piuttosto di rado: per ogni caso in cui una donna aveva controllato la propria email, la stessa azione era stata eseguita da 13 585 uomini. Solo 9 700 dei 5 milioni di account femminili avevano risposto ad un messaggio almeno una volta, mentre tale azione era stata compiuta da 5,9 milioni di uomini. Concluse, "Gli account di donne mostrano così poca attività che potrebbero benissimo non esserci."[50] In un successivo articolo della settimana seguente, Newitz riconobbe di aver "frainteso le prove" nel suo precedente articolo e che la sua conclusione che ci fossero poche donne attive sul sito si era basata su dati che registravano le attività dei "bot" nel contattare i membri. Newitz confermò che Ashley Madison aveva creato più di 70 000 bot "femminili" per inviare milioni di messaggi falsi agli utenti maschi. Tuttavia, osservò che "non abbiamo assolutamente alcun dato che registri l'attività umana nel database di Ashley Madison scaricato da Impact Team. Tutto ciò che possiamo vedere è quando gli esseri umani falsi hanno contattato quelli veri". Osservò che il sito sembrava tenere traccia dei contatti tra persone, ma che Impact Team non diffuse questi dati.[52]
Le password sul sito "live" (cioè accessibile potenzialmente da chiunque) erano "hashate" usando l'algoritmo bcrypt.[53][54] Un analista di sicurezza che usava lo strumento di recupero password Hashcat con un dizionario basato sulle password di RockYou[55] trovò che circa quattromila password erano tra le più ovvie, con una prevalenza di "123456" e "password".[56] A causa di un errore progettuale per cui le password erano "hashate" anche separatamente con l'algoritmo poco sicuro MD5, alla fine furono violate 11 milioni di password.[57]
Pur riconoscendo che alcuni uomini avevano scoperto lo stratagemma, la scrittrice Claire Brownell del Financial Post ha suggerito che se fossero state condotte solo poche interazioni, i chatbot imitatori di donne, che avevano ingannato molti uomini per indurli ad acquistare account speciali, avrebbero anche potuto superare il test di Turing.[58]
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.