Cerca nel blog

2015/08/19

Pubblicati 10 GB di dati personali del sito di tradimenti Ashley Madison

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle gentili donazioni di “robird*”, “danibsec*” e “andreac*”. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2015/08/20 8:50.

Lo so che tutti quelli che decidono di essere infedeli al proprio partner credono di essere troppo furbi per essere mai scoperti, ma ci vuole un tipo di furbizia davvero speciale per fare le corna rivolgendosi a un sito Web al quale affidare la propria carta di credito e quindi la propria vera identità. Cosa mai potrebbe andare storto?

Devono averlo pensato in molti fra i 37 milioni di diversamente furbi che si sono affidati al sito Ashley Madison, un servizio “leader mondiale negli appuntamenti per persone sposate per incontri discreti” (come recita il suo banner, evidenziando il “discreti”). E infatti puntualmente il sito è stato violato e i dati degli utenti sono stati trafugati, con un ultimatum insolito alla Avid Life Media, proprietaria di Ashley Madison: chiudete il sito (e il suo consociato Established Men, dedicato a “collegare ragazze attraenti a benefattori generosi e di successo”) o pubblicheremo tutti i dati dei vostri clienti. Lo si è saputo il 21 luglio scorso.

Ashley Madison ed Established Men non sono stati chiusi, e ora, a quanto pare, i dati trafugati sono stati pubblicati su Internet e sono accessibili tramite Tor in siti come questo: circa 10 gigabyte (compressi; 35 giga dopo lo scompattamento) di mail, profili di membri, transazioni di carte di credito e altri dati estremamente sensibili, compresi organigrammi aziendali e altri documenti.

I nomi degli utenti possono ovviamente essere falsi, per cui l'esistenza di un profilo intestato a una certa persona non significa necessariamente che quella persona abbia davvero creato un account presso il sito (anche perché Ashley Madison non verificava gli indirizzi di mail degli utenti); ma se i dati includono anche le transazioni delle carte di credito, l'identità è difficile da negare e per gli avvocati divorzisti è festa grande. Anche chi vive di ricatti sarà particolarmente felice della stupidità degli utenti di questi siti. Se poi, come capita spesso, gli utenti hanno adoperato la stessa password su Ashley Madison e altrove, alla festa si aggiungeranno anche i ladri di account.

Gli intrusi, che si fanno chiamare Impact Team, hanno motivato la propria azione dicendo che Ashley Madison è un sito fraudolento: “una truffa con migliaia di falsi profili femminili... il 90-95% degli utenti reali è costituita da maschi”, scrivono, invitando gli utenti a fare causa alla Avid Life Media per averli ingannati.

C'è di più: Ashley Madison si faceva pagare 19 dollari dagli utenti per il privilegio di disiscriversi e di cancellare i loro dati (che includono informazioni molto personali come i dettagli delle loro preferenze sessuali), e già questo è discutibile, ma i file trafugati indicano che in realtà i dati non venivano affatto eliminati.

Tweet reale di Ashley Madison.
Divorzi e ricatti a parte, i dati sono estremamente interessanti come spaccato delle abitudini degli utenti. Per esempio, secondo le prime indagini, ci sarebbero circa 15.000 indirizzi .gov o .mil, il che significherebbe che ci sono utenti così stupidi da usare il proprio indirizzo di mail di lavoro governativo o militare per iscriversi a un sito d'incontri. Le password sono cifrate con bcrypt, ma dubito che resisteranno a lungo.

Morale della storia: su Internet come nella vita reale, non affidate a terzi sconosciuti i vostri segreti. Non ne avranno mai la cura che ne avreste voi. E mettendoli online facilitate immensamente il lavoro a chiunque sia interessato a rubarli. Se li custodite voi, per quanto li custodiate male, per rubarveli devono avercela con voi abbastanza da entrarvi materialmente in casa o in ufficio.


8:50


I dubbi sull'autenticità dei dati pubblicati sono stati chiariti: i file sono stati autenticati. Gli account pubblicati sono circa 33 milioni (completi di nome utente, nome e cognome e hash della password; 28 milioni si dichiarano uomini, 5 si dichiarano donne); ci sono dati parziali riguardanti indirizzi d'abitazione, numeri di telefono e carte di credito, 9.6 milioni di transazioni e 36 milioni di indirizzi di mail. Le preferenze sessuali di ciascun utente sono descritte in maniera estremamente dettagliata, con ben 62 categorie. Ci sono anche gli account PayPal usati dai dirigenti di Ashley Madison (completi di password), schemi dettagliati dell'infrastruttura dell'azienda, e altro ancora. I dati sono stati raccolti l'11 luglio scorso.



Emerge molto chiaramente l'assurda disinvoltura dei gestori della sicurezza di Ashley Madison, che tenevano attivi sette anni di transazioni di carte di credito e avevano password di PayPal corte, ripetute e facili (avid1906 su cinque account, keithx22 su due, per esempio).

Un'analisi degli account con indirizzi .mil o .gov è qui.

Un altro bell'esempio d'incoscienza degli utenti: migliaia si sono registrati usando il proprio indirizzo di mail presso Facebook, per cui è banale associare il loro profilo a Ashley Madison al loro profilo Facebook.

Stanno già nascendo i siti che permettono di fare ricerche all'interno dei file trafugati, come per esempio Washeonashleymadison.com, che è già stato diffidato e ha interrotto il servizio. Mikko Hypponen di F-Secure consiglia di usare Haveibeenpwned.com per essere notificati in caso di violazioni del proprio account di mail.

Va ribadito che la presenza di un semplice indirizzo di mail negli archivi di Ashley Madison non è prova di colpevolezza (per esempio c'è chi vi ha trovato quello apparente di Tony Blair): chiunque poteva registrarsi al sito usando una mail di fantasia o altrui. Se invece insieme al nome ci sono i dati della carta di credito, l'identità si fa molto più credibile.

Altri aggiornamenti sono qui.


Fonti aggiuntive: The Register, Ars Technica, Fusion.net, Hydraze.org, Wired, Ars Technica, Wired.

Nessun commento: