skip to main | skip to sidebar
14 commenti

Pubblicati 10 GB di dati personali del sito di tradimenti Ashley Madison

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle gentili donazioni di “robird*”, “danibsec*” e “andreac*”. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2015/08/20 8:50.

Lo so che tutti quelli che decidono di essere infedeli al proprio partner credono di essere troppo furbi per essere mai scoperti, ma ci vuole un tipo di furbizia davvero speciale per fare le corna rivolgendosi a un sito Web al quale affidare la propria carta di credito e quindi la propria vera identità. Cosa mai potrebbe andare storto?

Devono averlo pensato in molti fra i 37 milioni di diversamente furbi che si sono affidati al sito Ashley Madison, un servizio “leader mondiale negli appuntamenti per persone sposate per incontri discreti” (come recita il suo banner, evidenziando il “discreti”). E infatti puntualmente il sito è stato violato e i dati degli utenti sono stati trafugati, con un ultimatum insolito alla Avid Life Media, proprietaria di Ashley Madison: chiudete il sito (e il suo consociato Established Men, dedicato a “collegare ragazze attraenti a benefattori generosi e di successo”) o pubblicheremo tutti i dati dei vostri clienti. Lo si è saputo il 21 luglio scorso.

Ashley Madison ed Established Men non sono stati chiusi, e ora, a quanto pare, i dati trafugati sono stati pubblicati su Internet e sono accessibili tramite Tor in siti come questo: circa 10 gigabyte (compressi; 35 giga dopo lo scompattamento) di mail, profili di membri, transazioni di carte di credito e altri dati estremamente sensibili, compresi organigrammi aziendali e altri documenti.

I nomi degli utenti possono ovviamente essere falsi, per cui l'esistenza di un profilo intestato a una certa persona non significa necessariamente che quella persona abbia davvero creato un account presso il sito (anche perché Ashley Madison non verificava gli indirizzi di mail degli utenti); ma se i dati includono anche le transazioni delle carte di credito, l'identità è difficile da negare e per gli avvocati divorzisti è festa grande. Anche chi vive di ricatti sarà particolarmente felice della stupidità degli utenti di questi siti. Se poi, come capita spesso, gli utenti hanno adoperato la stessa password su Ashley Madison e altrove, alla festa si aggiungeranno anche i ladri di account.

Gli intrusi, che si fanno chiamare Impact Team, hanno motivato la propria azione dicendo che Ashley Madison è un sito fraudolento: “una truffa con migliaia di falsi profili femminili... il 90-95% degli utenti reali è costituita da maschi”, scrivono, invitando gli utenti a fare causa alla Avid Life Media per averli ingannati.

C'è di più: Ashley Madison si faceva pagare 19 dollari dagli utenti per il privilegio di disiscriversi e di cancellare i loro dati (che includono informazioni molto personali come i dettagli delle loro preferenze sessuali), e già questo è discutibile, ma i file trafugati indicano che in realtà i dati non venivano affatto eliminati.

Tweet reale di Ashley Madison.
Divorzi e ricatti a parte, i dati sono estremamente interessanti come spaccato delle abitudini degli utenti. Per esempio, secondo le prime indagini, ci sarebbero circa 15.000 indirizzi .gov o .mil, il che significherebbe che ci sono utenti così stupidi da usare il proprio indirizzo di mail di lavoro governativo o militare per iscriversi a un sito d'incontri. Le password sono cifrate con bcrypt, ma dubito che resisteranno a lungo.

Morale della storia: su Internet come nella vita reale, non affidate a terzi sconosciuti i vostri segreti. Non ne avranno mai la cura che ne avreste voi. E mettendoli online facilitate immensamente il lavoro a chiunque sia interessato a rubarli. Se li custodite voi, per quanto li custodiate male, per rubarveli devono avercela con voi abbastanza da entrarvi materialmente in casa o in ufficio.


8:50


I dubbi sull'autenticità dei dati pubblicati sono stati chiariti: i file sono stati autenticati. Gli account pubblicati sono circa 33 milioni (completi di nome utente, nome e cognome e hash della password; 28 milioni si dichiarano uomini, 5 si dichiarano donne); ci sono dati parziali riguardanti indirizzi d'abitazione, numeri di telefono e carte di credito, 9.6 milioni di transazioni e 36 milioni di indirizzi di mail. Le preferenze sessuali di ciascun utente sono descritte in maniera estremamente dettagliata, con ben 62 categorie. Ci sono anche gli account PayPal usati dai dirigenti di Ashley Madison (completi di password), schemi dettagliati dell'infrastruttura dell'azienda, e altro ancora. I dati sono stati raccolti l'11 luglio scorso.



Emerge molto chiaramente l'assurda disinvoltura dei gestori della sicurezza di Ashley Madison, che tenevano attivi sette anni di transazioni di carte di credito e avevano password di PayPal corte, ripetute e facili (avid1906 su cinque account, keithx22 su due, per esempio).

Un'analisi degli account con indirizzi .mil o .gov è qui.

Un altro bell'esempio d'incoscienza degli utenti: migliaia si sono registrati usando il proprio indirizzo di mail presso Facebook, per cui è banale associare il loro profilo a Ashley Madison al loro profilo Facebook.

Stanno già nascendo i siti che permettono di fare ricerche all'interno dei file trafugati, come per esempio Washeonashleymadison.com, che è già stato diffidato e ha interrotto il servizio. Mikko Hypponen di F-Secure consiglia di usare Haveibeenpwned.com per essere notificati in caso di violazioni del proprio account di mail.

Va ribadito che la presenza di un semplice indirizzo di mail negli archivi di Ashley Madison non è prova di colpevolezza (per esempio c'è chi vi ha trovato quello apparente di Tony Blair): chiunque poteva registrarsi al sito usando una mail di fantasia o altrui. Se invece insieme al nome ci sono i dati della carta di credito, l'identità si fa molto più credibile.

Altri aggiornamenti sono qui.


Fonti aggiuntive: The Register, Ars Technica, Fusion.net, Hydraze.org, Wired, Ars Technica, Wired.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (14)
Ecco un'ulteriore riprova del fatto che la tecnologia stia rendendo imbecille la gente. Cornifichi il partner online? Non ti lamentare se ti sgamano subito! E questi sono i classici che ne combinano peggio di Bertoldo, Bertoldino e Cacasenno tutti insieme e subito vanno a vantarsene sulle socialmerde (categoria di cui questo sito Ashley Madison fa parte a buon diritto). Quando non c'era la tecnologia, nello specifico Internet, chi le combinava non andava certo a gridarle nella pubblica piazza: perché è questo che ora fanno sulla pubblica piazza che è la rete.
Per la mia esperienza spesso chi tradisce, magari in modo inconsapevole, un po' vuole farsi beccare... e l'altra parte non vuole vedere. Non si vedono prove ben più schiaccianti, di mogli che a) sappiano cos'è Ashley Madison (tra l'altro: ho letto il titolo della notizia su una rivista di settore ieri, pensavo fosse una star di Hollywood AHAH) b) vengano a conoscenza della notizia (magari in America è girata anche sulla stampa generalista) c) si prendano la briga di capire cos'è Tor, installarlo e usarlo d) vadano ad effettuare una ricerca; beh, di mogli che facciano tutto questo quando non vedono ciò che hanno sotto gli occhi purtroppo dubito ce ne siano molte.

Come ben dici tu, questo è un colpo grosso per gli avvocati - e anche per la lavanderie: ci sono 37 milioni di paia di pantaloni che si sono sporcati all'improvviso con rifiuti biologici solidi :D

Mi sa che quei 37 milioni passeranno qualche settimana con un livello di ansia più alto del solito. Ammesso capiscano quel che è successo, come dici tu sono diversamente furbi, probabilmente nemmeno si rendono conto.
Ciao Paolo,
Refuso: il link di haveibeenpwned.com è corretto ma nel testo hai scritto Haveibeenowned.com
Certo che la motivazione per l'hacking.....
"mi avete imbrogliato, su questo sito sono tutti uomini" moralmente è discutibile.

Non è del tutto vero che i tradimenti "classici" non si raccontano sulla pubblica piazza. Sia da parte del diretto interessato che di terzi pettegoli.
Conoscevo il sito perché un altro sito che visitavo tempo fa ( ok, suonerà come una excusatio non petita, ma non era un sito porno :D ) era pieno di link che tentavano di aprirlo come popup e mi ricordo che pensavo 'accidenti, chissà quanti pistola abboccheranno vedendo la tipa sexy che fa 'shhhh' ' :D

"l'identità è difficile da negare e per gli avvocati divorzisti è festa grande."

Qui sono perplesso: è possibile usare in tribunale come prova legale del materiale proveniente da un'attività illegale (violazione di un sito e pubblicazione di dati riservati)?
Riguardo alla presunta email di Tony Blair, il dominio labour.gov.uk nemmeno esiste. Il sito del partito è labour.org.uk
Unknown,

refuso sistemato, grazie.
@Crazy
Non ce lo vedo, un fedifrago d'antan, a spiattellare tutto nella pubblica piazza; magari lo dicevano al prete in confessione, e si sa che nemmeno sotto tortura i preti infrangono il segreto confessionale. A rendere pubblico un tradimento erano i terzi pettegoli, appunto; ma quelli non dipendevano dalla volontà del fedifrago, giusto? Ma nemmeno un criminale d'antan andava a urlare nella pubblica piazza il crimine commesso, a meno che non fosse un pazzo; adesso pubblicano tutto sul Tomo delle Facce di Merda.
Ho scoperto che il mio indirizzo email è stato trafugato. Ma l'username no!
Però...guardiamo il bicchiere mezzo pieno. Le password non erano in chiaro, a differenza di hacking team. Già qualcosa :-D

P.S. Io per queste cose godo parecchio. Certi business sono sinceramente assurdi in un mondo di persone ragionevoli....
Dunque, partiamo da una semplice osservazione: perché gli utenti di AM dovrebbero essere più stupidi, ad esempio, degli utenti del Playstation Network nell'usare la propria carta di credito? Entrambi offrono servizi della quale i loro utenti (si spera) sono al cosciente dei pericoli legati al furto di identità o dei propri dati sensibili.

La differenza, potreste dirmi, sta nel fatto che le conseguenze (non necessariamente economiche) sono molto più alte nel primo caso dato che l'intenzione è per l'utente di mantenere il proprio anonimato. Però chiariamo alcune cose:

1) Ognuno è padrone della propria morale. Se una persona decide di tradire il proprio partner, è una questione sua e di sua moglie/marito. Non sono degli hacker o la società a stabilire che è immorale e ad infliggere o giustificare una punizione adeguata.

2) Non c'è cosa più squallida degli hacker che si ergono a profeti e pretendo di possedere la verità morale: il tradimento è sbagliato e va punito. In questo, sono totalmente dalla parte degli utenti di AM e della società stessa quando dichiara:

“This event is not an act of hacktivism, it is an act of criminality ... The criminal, or criminals, involved in this act have appointed themselves as the moral judge, juror and executioner, seeing fit to impose a personal notion of virtue on all of society. We will not sit idly by and allow these thieves to force their personal ideology on citizens around the world.”

3) Parliamoci chiaro, i tradimenti sono innumerevoli e continui (se chiedete a me, è l'idea stessa del matrimonio ad essere flawed) e vengono scoperti di continuo in modi molto più semplici: un sms ricevuto al momento sbagliato, un telefonino o il computer lasciato incustodito, rimasti autenticati in Facebook, ecc. Nonostante questa grande fuga di dati di AM, non credo sia tanto facile scoprire partner infedeli. Come qualcuno ha fatto notare, c'è prima la necessità di conoscere AM, poi la difficoltà nel procurarsi quei dati, incluso il pericolo nel farlo (pericolo di essere beccati dalle autorità, pericolo di scaricare dei malware da siti trappola, ecc.), e poi c'è il discorso da capire qualora questi dati ottenuti con metodi illegali possano essere usati o meno in sede giudiziaria.

In conclusione, secondo me in molti utenti si sono fatti bene i conti ed hanno concluso che nonostante tutto, è meglio tradire usando il sito di AM piuttosto che altri metodi più comuni e meno sicuri, quindi non esagererei nel chiamarli stupidi.
Io questo sito di cui parlate non lo conosco, adesso mi faccio una ricerca.
Mi ha colpito il dettaglio relativo alle credenziali di dominio...

"The database also contains other vital data, such as Windows domain credentials for the local Ashley Madison network, PayPal account details for the company's executives, and more."

http://arstechnica.co.uk/security/2015/08/data-from-hack-of-ashley-madison-cheater-site-purportedly-dumped-online/
Beh! Una certa tendenza a vantarsi di quel genere di prodezze, anche se non proprio sulla pubblica piazza, c'è tra la popolazione maschile....
Ed è risaputo che un segreto è tale solo se lo sa una persona sola. Se lo sanno in due è già di dominio pubblico.

@harlemblues
D'accordissimo con te sulla questione che ciascuno è padrone della propria morale e l'azione degli hacker, peraltro non giustificata da imperativi morali a difesa della famiglia a quanto dichiarato, è moralmente criticabile.

Resta il fatto che è stupido cercare di nascondere un fatto, l'iscrizione a AM, lasciando così tante tracce personali.
E' come fare una rapina con la propria auto, a volto scoperto e perdere la carta di identità sul luogo del delitto.
In cosa è più stupido che andare al supermercato con la propria auto, a volto scoperto e perdere la carta di identità? :-)

Una ulteriore questione è che AM on ha protetto i dati dei suoi utenti in maniera sufficientemente efficace.
E ci potrebbe essere spazio per una class action degli utenti contro AM.
E in questo caso le prove ottenute illegamente sarebbero utilizzabili per dimostrare che la sicurezza del sito era inferiore a quanto promesso, in quanto è il fatto stesso che siano state trafugate la dimostrazione che la sicurezza era deficitaria.