skip to main | skip to sidebar
12 commenti

Ashley Madison: nuova serie di dati trafugati, analisi degli account ticinesi

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “m.sabbat*”. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2015/08/23 17:30.

2015/08/21 10:30. Poche ore fa è stato rilasciato un altro Torrent di dati che a quanto pare provengono dal sito Ashley Madison. L'annuncio è stato pubblicato sulla rete Tor. Nel nuovo lotto di dati ci sono le mail di Noel Biderman, CEO di Avid Life Media, che è proprietaria di AM; il codice sorgente del sito e delle app per smartphone; e molti dati interni dell'azienda. La disponibilità di questi dati faciliterà il lavoro di devastazione di qualunque aspirante aggressore (ammesso che a questo punto resti qualcosa da devastare, anche se l'azienda sembra voler continuare a operare). Non sembra esserci nulla di interessante dal punto di vista tecnico in questa nuova serie di dati.

Intanto in Canada è partita la prima class action contro l'azienda per non aver tutelato i dati personali degli utenti. I gestori di Ashley Madison sono in piena modalità panico: stanno addirittura ricorrendo alla censura tramite le leggi sul copyright (DMCA) per rimuovere i tweet che la citano. Ma ormai il danno è fatto: le rivelazioni hanno dimostrato che c'è un enorme numero di account falsi e quindi la credibilità dell'azienda (anche in termini di custodia dei dati sensibili dei clienti) ne esce a pezzi.

Fra gli utenti di AM ci sono membri dello staff della Casa Bianca, secondo Time. Su Dadaviz.com c'è una notevole serie di grafici basati su analisi dei dati trafugati: ripartizioni per paese rispetto alla popolazione, proporzione uomini/donne, stato coniugale dichiarato, numero di utenti che hanno usato il proprio indirizzo di mail governativo (ci sono 11 italiani) o di lavoro.

Ieri ho partecipato al servizio della Radiotelevisione Svizzera sulla vicenda Ashley Madison: il video è qui in streaming. Dall'analisi del primo lotto di dati pubblicati, alla quale accenno nel servizio, emerge che ci sono in tutto circa 50 account che indicano una località del Canton Ticino come indirizzo fisico, insieme a un indirizzo di mail, al nome e cognome e alle ultime quattro cifre della carta di credito. In alcuni casi è stato usato l'indirizzo di mail del luogo di lavoro e/o ci sono altri dati personali reperibili facilmente sui social network. C'è un addebito di oltre 15.000 dollari sul quale sto indagando (ho contattato la persona per segnalare la possibile frode ai suoi danni). Le località ticinesi dichiarate dagli utenti, spesso indicando anche la via e il numero civico, sono una trentina (Arzo, Bellinzona, Cadempino, Camorino, Canobbio, Carabbia, Castel San Pietro, Chiasso, Cimo, Cugnasco, Figino, Lamone, Locarno, Losone, Lugano, Maggia, Manno, Massagno, Melano, Minusio, Monte Carasso, Morcote, Muralto, Pambio-Noranco, Paradiso, Quartino, Riva San Vitale, S. Pietro, Salorino, San Vittore, Sorengo, Vacallo).


2015/08/23 17:30


È partita una class action da oltre mezzo miliardo di dollari contro Ashley Madison. La riferisce la BBC, dicendo che due studi legali canadesi hanno avviato l'azione legale per conto di tutti i cittadini canadesi che sono stati colpiti dalla violazione della riservatezza dei propri dati. “In molti casi gli utenti avevano pagato un importo supplementare per far rimuovere dal sito tutti i propri dati e ora hanno scoperto che quelle informazioni sono invece rimaste intatte e ora sono state rese pubbliche”.


Fonti aggiuntive: Ars TechnicaThe Register.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (12)
Per chi interessasse il servizio inizia a 11:54.
Un piccolo refuso: Salorino e non Salarino (che è quello che invece riceviamo a fine mese)
Al di la dei risvolti tecnici, curiosi o statistici della vicenda, io considererei quelli antropologici.
Se AM era solo UN sito di appuntamenti e fa quei numeri, considerando quanti ne esistono, contando le persone avvezze alla tecnologia che tradiscono alla vecchia maniera, emerge che l'adulterio è un vizio molto più diffuso di quello che la morale comune ci ha insegnato.

Una volta stabilito questo, che senso ha additare membri del congresso o funzionari pubblici come colpevoli, quando è una colpa che ha il 20-30% della popolazione? Si forse potevano evitare di farlo con dati ed email d'ordinanza, ma quando una cosa è considerata la "norma" non ha più senso prendere troppe precauzioni per nasconderla.
Oh Mio Tio,

grazie della correzione. Era scritto così nel database.
Roby10,

il problema non è la diffusione dell'adulterio, che è questione morale; è la diffusione della stupidità di usare l'account di lavoro per cose personali. che è questione pratica. Nel caso di un account governativo, è anche un abuso di risorse dello stato per usi privati.

Se non ha senso prendere precauzioni per nasconderla, allora perché la si fa di nascosto? E' difficile pensare alla scena "Caro, esco un attimo a fare sesso con un altro, ti va bene, vero?".

Il sito dell'RSI non si è ancora adeguato, usa Flash.
comunque in tutti questi siti di dating è enorme la presenza di account fasuli fatti per attirare i gonzi in genere uomini

Scusa per l'off-topic ma ti volevo segnalare che dalla schermata condividi di ad-this c'è anche un link a un servizio che si chiama 2-tag (ne ho preso uno a caso)e Google Chrome lo segnala come pericoloso.
Aldilà del grosso problema di sicurezza del sito di AM che è giusto segnalare, mi pare che gli articoli, ben 3, solletichino a scoprire chi sono gli utenti, mi sembra di assistere ad un pruriginóso talk show.
A Paolo, commento 5: il punto è proprio questo, usare mezzi di lavoro per scopi personali non rende chiaro con chi ci si stia rivolgendo e perchè (e quindi nascono dubbi, incomprensioni e situazioni di possibile pericole per i sistemi informativi interni).

Una mia zia qualche anno fa cercava un gattino per la mia cuginetta, ed aveva visto un annuncio su internet dove una tizia offriva gattini in adozione; Mia zia ha chiesto informazioni sullo stato di salute e sull'età del cucciolo, ed ha ricevuto un insulto come risposta, in cui la mandavano al caldo. Quando me lo ha detto sono rimasto stupito, e le ho chiesto di girarmi la sua mail per vedere se aveva scritto qualche cosa che potesse avere causato questa reazione. Ho subito capito il motivo quando l'ho ricevuta:

From:
Ho letto l'annuncio dove Lei offre un gatto: è in buona salute? Di che età è?

Magari quest'uso non mette in pericolo l'ospedale, però il ricevente ha di fatto creduto che mia zia scrivesse per conto dell'ospedale (per fare chissà cosa al piccolo micio).
Magari un'altra persona su un sito di incontri può vantare la propria posizione e "sfruttarla" in modi più o meno legali.
A me continuano a girare in testa quest parole:
"Hackers claim to have targeted Ashley Madison and a sister site, Established Men, because of the dubious morals they condoned."
"Gli hacker affermano di aver preso di mira Ashley Madison e un sito sorella, Established Men, a causa della dubbia morale che condonano."
(fonte:fusion.net ma avrei potuto prendere uno qualsiasi degli altri articoli scritti in proposito)

E io mi chiedo:
1) Nella guerra tra "white hat" e "black hat", questi sicuramente sono sulla lista dei "black hat" (gli hacker cattivi per dirla alla buona). Quindi come si permettono di giudicare un sito dalla sua "morale"?
2) I tuo parametri di morale non devono essere per forza i miei (come cercano d'imporre con quest'atto di pirateria). Ora, sopratutto il secondo sito dove si cerca di far conoscere giovani ragazze "disponibili" a rapporti con uomini ricchi mi ricorda una vecchia barzelletta (v.di sotto) e soprattutto mi fà un po' schifo; Ma e' la _mia_ morale. Non deve per forza essere quella di tutti. Inoltre, i siti sono solo un mezzo. Non è chiudendo gli stessi che si risolve il problema.
3) Ma forse l'ho già detto: "chi c***o sei per impormi la tua "morale"?
4) Se fossero veri hacker, legati alle tradizioni e lla filosofia della rete, dovrebbero ricordarsi che la rete è nata come espressione di libertà, che ci piaccia o meno: perciò tu, piccolo hacker, perchè devi dirmi cosa ci può essere in rete e cosa non ci puo' essere?

Comunque... questa rimane solo la mia opinione. Devo preoccuparmi di ricevere un attacco? Anche perche' comportamenti di questo genere (chiudi o divulghiamo i db) mi sembrano molto "terroristici".

E se avete letto fin qui, vi meritate la barzelletta:
lui e lei al bancone di un bar.
Lui:"verresti a letto con me per 1 milione di euro?"
Lei:"certo!"
E lui:"verresti a letto con me per 10 euro?"
E lei:"per cosa mi hai preso per una p.... ?"
E lui: "cosa sei lo abbiamo capito con la prima domanda. ora e' una questione di prezzo."

naturalmente, per quanto riguarda la barzelletta, scherzo.
Ci sono ennemila servizi per incontrare persone che non chiedono indirizzi e carte di credito. Ci sono servizi come paypal per effettuare pagamenti ponendo un ulteriore filtro piuttosto che acquisti tramite store che offrono ancora un altro tipo di filtro sui propri dati creditori. Servizi che usano app dove non è richiesto nemmeno di esistere e dove è possibile usare anche account di posta tipo yahoo o alias che rimandino ad altri account se non iscrizioni usando account di posta farlocchi che nessuno verifica essere esistenti o meno. Insomma con poco sforzo si può mettere tra un hacker e la propria vita una serie di barriere oggettivamente invalicabili che richiederebbero la violazione di sistemi di sicurezza dei maggiori e piú importanti attori del mondo web e nonostante questo condurrebbero a vicoli ciechi. Invece qua si danno nomi, cognomi, indirizzi, account di posta governativi e si paga pure per attività ritenute a torto o ragione moralmente illecite se non oggettivamente illegali.
Mi spiace e duole dirlo ma è l'ennesimo esempio di come la madre degli imbecilli sia sempre incinta e che "studiare, studiare e studiare" rimangano sempre le tre regole d'oro in un mondo sempre più evoluto. Un mondo dove proprio quando le cose sembrano "semplici" occorre prestare la massima attenzione. Chi studia usa pgp, macchinoso per carità ma è un utente che acquisisce i suoi privilegi di riservatezza, chi "striscia" la carta come massimo sforzo intellettivo e pretende di avere il massimo... Ah, beh... La cosa che mi meraviglia è che in 18 anni di diffusione massicia e capillare della rete internet divenuta pervasiva dell'intero pianeta è che i problemi siano ancora gli stessi... Uno su tutti ... L'utontaggine.