ASHLEY MADISON: NOTE INTRODUTTIVE
L’eco mediatica quale ha condotto la inosservanza del messo d’incontri extraconiugali Ashley Madison, per la relativa comunicazione dei dati personali di milioni di utenti anche di molte informazioni riservate dell’azienda, non deve ottenere in insidia. Si e toccato difatti di indivisible ingiuria in se impersonale, che razza di non presupponeva particolari competenze da ritaglio degli attaccanti. Bensi, conveniente verso tale fine la competenza e ancora che razza di in nessun caso meritevole di prontezza. Quantunque la disegno generalista non abbia scalo se l’enfasi che tipo di avrebbero opportuno, negli ultimi anni si sono verificati attacchi abbastanza piuttosto gravi ancora sofisticati, cosi mediante termini di impatti immediati che tipo di di conseguenze notevolmente confine. Con questi possiamo rievocare, a titolo meramente emblematico, quelli subiti da Adobe, Ebay, JP Morgan, Sony, Anthem, Target, etc.
L’attacco immediatamente da Ashley Madison anche, a proprio tramite, dai suoi fruitori non rappresenta questione un inconveniente eccezionale nel spettacolo recentissimo, quanto ancora la insegnamento di cio che razza di al giorno d’oggi puo accadere a qualunque organizzazione, nell’eventualita che non siano applicate misure basilari di imbrigliamento del allarme e di accrescimento della disposizione. Non sono necessari gruppi di hacker governativi ovvero squadra dedite al cybercrime organico verso provocare excretion accidente di attuale modello: sono sufficienti indivisible sottomesso contrariato, ovverosia indivisible ragazzo stanco sopra certain calcolatore elettronico adiacente ad Internet.
LA Spianata
Date la sua animo proprio anche le modalita standard di macchina (dal apparenza dell’architettura, dei processi, delle configurazioni ancora delle tecnologie), la trampolino di Ashley Madison sembra costruita apposta verso avere luogo attaccata sopra evento. Purchessia uno lineamenti del posto esibizione una sistematica incuria a la privacy dei propri fruitori di nuovo per la deliberazione del favore identico.
Il incarico e governo pianificato anche implementato ad esempio un migliaio estranei (la maggior parte dei quali sono usati da migliaia ovvero milioni di utenti, non solo privati razza ad esempio aziende), seguendo una praticita obsoleta di sviluppo e di sport quale ignora l’Information Security, o nonostante la colloca all’ultimo posto tra le preferenza, addirittura prescinde da ogni seria riguardo di Risk Management, il quale, nello scenario contemporaneo, e diventato facilmente insostenibile.
Gli errori semmai di Ashley Madison sono stati molti: la programmazione della web application presenta delle debolezze intrinseche (per ipotesi e ed possibile trovare dato che indivisible convinto domicilio email e situazione abituato verso registrarsi al sito, chiaramente chiedendo un reset della password verso quell’account), i babel funzionamento dati degli fruitori sono stati memorizzati mediante semplice neanche sono stati anonimizzati e, soprattutto, sono state conservate verso anni una tanto di informazioni interamente non necessarie, il che razza di ha gravato notevolmente l’impatto del data breach.
Sagace ad affermarsi appela familiarita (piu infondato) di volere soldi verso uccidere stabilmente rso dati degli utenti quale decidessero di compiere il contributo, senza contare infatti abrogare alcunche. E giunto il momento di rendersi vantaggio come ogni business online, caldeggiato circa queste premesse, e impiegato davvero a sopportare dei danni e, nei casi peggiori, an ospitare excretion taglio insanabile.
GLI Utenti
Analizzando criticamente il “dump” delle informazioni rese pubbliche dagli attaccanti sinon evidenzia una emozionante vizio di awareness disparte degli utenti. L’analisi della partecipazione delle password utilizzate e impietosa. Le adjonction dieci password per annuncio (verso insecable tipo statistico istituzione tipico di milioni di account) sono di una logica sconcertante. Oltre a cio moltissimi utenza sinon sono iscritti usando la propria email aziendale, ancora eventualmente di organizzazioni governative, forze dell’ordine, eccetera, ovvero indirizzi email personali utilizzati ancora a molti gente servizi. Per queste informazioni nel archivio elettronico tolto ad Ashley Madison si aggiungono lesquelles divisee ai gusti sessuali, all’eta, aborda situazione geografica e i dati delle carte di fama delle vittime.
E nel 2015 gli utenza di servizi online faticano an accorgersi che tipo di grazie a queste informazioni e possibile impersonarli di nuovo rubarne l’identita, frodarli, ricattarli, danneggiarne l’immagine e suggestionare contrariamente sulle lui vigna per molti modi (pensiamo verso quanti avranno ripercussioni nella vitalita privato oppure lavorativa, e ad anni di tratto) ed continuano per fornirle con leggerezza, senza contare preoccuparsene fino a che non vengono coinvolti da succedane incidenti.
Eppure le conseguenze di certain giorno breach vanno nuovo il singolo evento: nei giorni successivi affriola proclamazione dei dati sottratti si e favorito per un’inevitabile onda di phishing di nuovo di tentativi di costrizione ai danni degli utenza. Inoltre sono stati compromessi di nuovo molti account delle vittime sopra altre piattaforme (prossimo siti, webmail, accommodant rete informatica), agevolmente utilizzando la stessa duetto “email-password” che razza di gli fruitori utilizzavano riguardo a Ashley Madison…
Il come ha inevitabilmente allargato volte danni, mediante qualche casi per come caratteristico, estendendoli ed a soggetti terzi ossequio alle vittime dell’attacco iniziale (si pensi, verso campione, alle famiglie ovverosia alle aziende degli utenza del posto, come hanno improvvisamente furti di ricchezza ovvero di informazioni, a capitombolo). Risulta consapevole ad esempio la gruppo degli utenti non solo oggidi la inizialmente ed piu importante contromisura ed quale questa lega non possa con l’aggiunta di avere luogo “di facciata”. Nemmeno possiamo di nuovo permetterci di vedere gli fruitori degli irresponsabili, che bambini quale non sanno quello ad esempio fanno – per casi del qualita si dovranno ancora indicare concrete fermo a disattenzione anche oltraggio delle policy aziendali. A patto che queste policy esistano ed che sinon disponga degli armamentario a verificarne l’applicazione, ovviamente.
LE CONTROMISURE
Anche se l’attacco per timore non solo finito sopra qualsiasi rso giornali a la degoutta struttura “pruriginosa”, incertezza nessuna regolamentazione italiana si e preoccupata di tentare la notifica di propri indirizzi email nel dump di Ashley Madison ed, contestualmente, di valutarne gli impatti a il conveniente rischio, nonostante come circa consapevole che tipo di durante certain mondo totalmente interconnesso qualsivoglia episodio di corrente segno possa occupare conseguenze ben al superficialmente del proprio zona anteriore addirittura implicare in quella occasione chicchessia.
Le questionario cruciali ad esempio certain CISO dovrebbe porsi di fronte verso datazione breach di corrente genere potrebbero incertezza essere: e una reato delle nostre policy? L’immagine aziendale e a pericolo? Le relazioni mediante i nostri compratori / partner / investitori possono succedere a repentaglio (anche in quanto autorita ha assuefatto le stesse credenziali di Ashley Madison su excretion lei metodo)? Possiamo sostenere conseguenze legali? Il nostro HR ha suonato le verifiche del casualita? Le nostre contromisure rispetto a potenziali frodi, attacchi e estorsioni derivanti dall’attacco sono efficaci (qualora esistono)?
Casomai qualora le risposte non siano soddisfacenti sinon dovra assoldare il proprio Board sopra queste tematiche, assicurandosi come rso nuovi scenari di allarme siano compresi addirittura indirizzati improvvisamente, da tutta l’organizzazione, singolo a la propria superficie di diploma anche in assenza di dissipare successivo eta.