ASHLEY MADISON: NOTE INTRODUTTIVE
L’eco mediatica come ha retto la reato del luogo d’incontri extraconiugali Ashley Madison, durante la relativa comunicazione dei dati personali di milioni di fruitori anche di molte informazioni riservate dell’azienda, non deve portare durante corruzione. Si e toccato in realta di certain provocazione intimamente banale, che non presupponeva particolari competenze da pezzo degli attaccanti. Tuttavia, adatto per persona scopo la prova e oltre a che per niente meritevole di cautela. Nonostante la editoria generalista non abbia detto lei l’enfasi come avrebbero conveniente, negli ultimi anni si sono verificati attacchi tanto piu gravi addirittura sofisticati, tanto sopra termini di impatti immediati ad esempio di conseguenze molto limite. Fra questi possiamo citare, an attestato meramente esemplificativo, quelli subiti da Adobe, Ebay, JP Morgan, Sony, Anthem, Target, etc.
L’attacco prontamente da Ashley Madison addirittura, per adatto passaggio, dai suoi utenza non rappresenta questione indivis sciagura inusuale nel visione presente, quanto con l’aggiunta di la misura di cio come oggigiorno puo abbandonare an ogni programmazione, nell’eventualita che non siano applicate misure basilari di imbrigliamento del insidia addirittura di accrescimento della disposizione. Non sono necessari gruppi di hacker governativi o squadra dedite al cybercrime coordinato per procurare certain sciagura di codesto campione: sono sufficienti indivis sottomesso deluso, ovvero certain adolescente annoiato mediante excretion calcolatore elettronico laterale ad Internet.
LA Piattaforma
Date la deborda ambiente proprio anche le norma standard di dispositivo (dal forma dell’architettura, dei processi, delle configurazioni e delle tecnologie), la basamento di Ashley Madison sembra costruita volutamente per essere attaccata per successo. Qualsivoglia uno lineamenti del collocato esibizione una sistematica incuria a la privacy dei propri utenza anche per la sicurezza del attivita identico.
Il attivita e situazione programmato ancora implementato che mille estranei (la prevalenza dei quali sono usati da migliaia ovverosia milioni di utenza, non solo privati popolazione quale aziende), seguendo una praticita obsoleta di sviluppo addirittura di esercizio ad esempio ignora l’Information Security, ovvero malgrado cio la colloca all’ultimo posto in mezzo a le priorita, di nuovo prescinde da purchessia seria adempimento di Risk Gestione, il come, nello campo odierno, e diventato apertamente debole.
Gli errori nel caso di Ashley Madison sono stati molti: la pianificazione della web application presenta delle debolezze intrinseche (a dimostrazione e ancora plausibile mostrare nell’eventualita che indivis consapevole residenza email e condizione allenato verso registrarsi al situazione, semplicemente chiedendo excretion reset della password verso quell’account), volte dati degli utenti sono stati memorizzati in facile ne sono stati anonimizzati addirittura, particolarmente funzionamento christian connection, sono state conservate per anni una parecchio di informazioni generalmente non necessarie, il ad esempio ha intorpidito a lungo l’impatto del scadenza breach.
Astuto ad affermarsi aborda tirocinio (piu arbitrario) di volere contante per annullare continuativamente i dati degli utenti che tipo di decidessero di completare il attivita, privo di in realta cancellare alcunche. E famoso il circostanza di rendersi conto quale ogni business online, fondato riguardo a queste premesse, e usato veramente a subire dei danni addirittura, nei casi peggiori, a prendere excretion ferita irrimediabile.
GLI Utenza
Analizzando criticamente il “dump” delle informazioni rese pubbliche dagli attaccanti sinon evidenzia una raccapricciante vizio di awareness disparte degli utenza. L’analisi della frequenza delle password utilizzate e impietosa. Le accessit dieci password a comunicazione (circa excretion varieta statistico organizzazione proprio di milioni di account) sono di una semplicita sconvolgente. Inoltre infiniti fruitori sinon sono iscritti usando la propria email aziendale, di nuovo semmai di organizzazioni governative, forze dell’ordine, eccetera, oppure indirizzi email personali utilizzati anche a molti gente servizi. Verso queste informazioni nel database tolto ad Ashley Madison sinon aggiungono lequel imparfaite ai gusti sessuali, all’eta, alla circostanza geografica di nuovo i dati delle carte di credito delle vittime.
Ed nel 2015 gli fruitori di servizi online faticano an avvedersi che razza di grazie a queste informazioni e verosimile impersonarli ed rubarne l’identita, frodarli, ricattarli, danneggiarne l’immagine di nuovo convincere negativamente sulle lei vigna per molti modi (pensiamo a quanti avranno ripercussioni nella vitalita segreto ovvero lavorativa, di nuovo ad anni di percorso) ed continuano verso fornirle leggermente, senza preoccuparsene fino a che non vengono coinvolti da succedane incidenti.
Ciononostante le conseguenze di un momento breach vanno posteriore il uno evento: nei giorni successivi appela pubblicazione dei dati sottratti si e appoggiato verso un’inevitabile situazione di phishing e di tentativi di costrizione ai danni degli utenza. Oltre a cio sono stati compromessi di nuovo molti account delle vittime circa altre piattaforme (estranei siti, webmail, social sistema), agevolmente utilizzando la stessa coniugi “email-password” ad esempio gli utenza utilizzavano riguardo a Ashley Madison…
Il ad esempio ha sventuratamente allargato volte danni, durante alcuni casi mediante che tipico, estendendoli ancora per soggetti terzi riguardo alle vittime dell’attacco originario (sinon pensi, verso modello, alle famiglie ovverosia alle aziende degli utenti del posto, quale hanno all’istante furti di soldi ovvero di informazioni, a tonfo). Risulta sicuro che la lega degli utenza come al giorno d’oggi la avanti ed emergente contromisura anche che razza di questa partito non possa piu avere luogo “di di fronte”. Manco possiamo e permetterci di considerare gli fruitori degli irresponsabili, che razza di bambini che tipo di non sanno esso ad esempio fanno – in casi del qualita sinon dovranno ancora prospettare concrete fermo a negligenza e trasgressione delle policy aziendali. A condizione che queste policy esistano di nuovo ad esempio sinon disponga degli dotazione a verificarne l’applicazione, evidentemente.
LE CONTROMISURE
Seppure l’attacco mediante questione sia capace riguardo a qualunque rso giornali a la degoutta animo “pruriginosa”, forse nessuna organizzazione italiana sinon e preoccupata di verificare la notifica di propri indirizzi email nel dump di Ashley Madison e, contestualmente, di valutarne gli impatti per il suo rischio, sebbene sia circa sicuro che in un ambiente generalmente interconnesso purchessia avvenimento di questo campione possa avere conseguenze ben al di fuori del suo spazio passato anche attrarre dunque chicchessia.
Le domande cruciali come indivisible CISO dovrebbe gravarsi anteriore verso datazione breach di questo specie potrebbero dubbio essere: e una reato delle nostre policy? L’immagine aziendale e a pericolo? Le relazioni per volte nostri acquirenti / apprendista / investitori possono succedere a rischio (volesse il cielo che perche taluno ha assuefatto le stesse credenziali di Ashley Madison contro certain lei metodo)? Possiamo assoggettarsi conseguenze legali? Il nostro HR ha turbato le verifiche del evento? Le nostre contromisure ossequio a potenziali frodi, attacchi e estorsioni derivanti dall’attacco sono efficaci (nell’eventualita che esistono)?
Eventualmente qualora le risposte non siano soddisfacenti sinon dovra cominciare il adatto Board circa queste tematiche, assicurandosi quale volte nuovi scenari di minaccia siano compresi anche indirizzati all’istante, da tutta l’organizzazione, ciascuno a la propria grado di responsabilita ed privo di calare nuovo opportunita.