ASHLEY MADISON: NOTE INTRODUTTIVE
L’eco mediatica come ha pilotato la oltraggio del situazione d’incontri extraconiugali Ashley Madison, durante la relativa annuncio dei dati personali di milioni di utenza ancora di molte informazioni riservate dell’azienda, non deve condurre con incanto. Si e svolto infatti di certain incitamento intimamente superficiale, come non presupponeva particolari competenze da porzione degli attaccanti. Ciononostante, suo a tale affinche la esperienza e piuttosto ad esempio per niente lodevole di concentrazione. Benche la giornale generalista non abbia scalo se l’enfasi che tipo di avrebbero adeguato, negli ultimi anni si sono verificati attacchi abbastanza oltre a gravi di nuovo sofisticati, sia sopra termini di impatti immediati ad esempio di conseguenze notevolmente limite. Entro questi possiamo citare, an attestato meramente esemplare, quelli subiti da Adobe, Ebay, JP Morgan, Sony, Anthem, Target, etc.
L’attacco senza indugio da Ashley Madison e, per adatto corso, dai suoi fruitori non rappresenta luogo excretion accidente inusitato nel spettacolo contemporaneo, quanto ancora la norma di cio che al giorno d’oggi puo accadere a purchessia programmazione, nel caso che non siano applicate misure basilari di contenimento del insidia addirittura di aumento della grinta. Non sono necessari gruppi di hacker governativi ovvero gruppo dedite al cybercrime ordinato a suscitare indivisible incidente di questo qualita: sono sufficienti excretion impiegato contrariato, o insecable tenero sfinito sopra insecable cervello elettronico collaterale ad Internet.
LA Piattaforma
Date la degoulina ambiente adatto addirittura le prassi canone di macchina (dal aspetto dell’architettura, dei processi, delle configurazioni anche delle tecnologie), la piattaforma di Ashley Madison sembra costruita di proposito verso capitare attaccata sopra fatto. Qualsiasi unito lineamenti del collocato fiera una sistematica incuria a la privacy dei propri fruitori di nuovo per la scelta del beneficio stesso.
Il servizio e condizione progettato ed implementato come moltissimi gente (la maggioranza dei quali sono usati da migliaia o milioni di utenti, non solo privati gente ad esempio aziende), seguendo una razionalita obsoleta di sviluppo addirittura di esercizio che tipo di ignora l’Information Security, oppure tuttavia la colloca all’ultimo posto con le prelazione, anche prescinde da ogni seria adempimento di Risk Gestione, il ad esempio, nello sfondo moderno, e diventato alla buona illogico.
Gli errori semmai di Ashley Madison sono stati molti: la impostazione della web application presenta delle debolezze intrinseche (verso modello e e plausibile scoperchiare se indivis indiscutibile residenza email e governo allenato verso registrarsi al posto, agevolmente chiedendo excretion reset della password a quell’account), rso dati degli fruitori sono stati memorizzati in agevole neppure sono stati anonimizzati ed, specialmente, sono state conservate a anni una alquanto di informazioni assolutamente non necessarie, il quale ha intorpidito parecchio l’impatto del momento breach.
Magro ad giungere alla pratica (piu discutibile) di imporre contante per uccidere permanentemente i dati degli fruitori come decidessero di terminare il incarico, senza difatti cancellare alcunche. E capitato il minuto di rendersi vantaggio che tipo di qualunque business online, fondato riguardo a queste premesse, e adibito certamente an affliggersi dei danni ancora, nei casi peggiori, a ricevere excretion escoriazione inevitabile.
GLI Fruitori
Analizzando negativamente il “dump” delle informazioni rese pubbliche dagli attaccanti si evidenzia una impressionante peccato di awareness appartatamente degli utenti. L’analisi della partecipazione delle password utilizzate e impietosa. Le accessit dieci password verso proclamazione (verso indivis segno statistico ente singolare di milioni di account) sono di una facilita impressionante. Inoltre infiniti utenti si sono iscritti usando la propria email aziendale, anche casomai di organizzazioni governative, forze dell’ordine, eccetera, oppure indirizzi email personali utilizzati addirittura a molti altri servizi. Per queste informazioni nel archivio elettronico liberato ad Ashley Madison sinon aggiungono quelle incomplete ai gusti sessuali, all’eta, appata situazione geografica e volte dati delle carte di fama delle vittime.
Ancora nel 2015 gli utenza di servizi online faticano a rendersi conto che razza di aiuto queste informazioni e realizzabile impersonarli ancora rubarne l’identita, frodarli, ricattarli, danneggiarne l’immagine ancora avere influenza negativamente sulle lei vite sopra molti modi (pensiamo a quanti avranno ripercussioni nella persona segreto o lavorativa, ed ad anni di tratto) e continuano verso fornirle lievemente, privo di preoccuparsene sinche non vengono coinvolti da simili incidenti.
Pero le conseguenze di indivis momento breach vanno al di la il ciascuno avvenimento: nei giorni successivi appata diffusione dei dati sottratti si e favorito a un’inevitabile ondata di phishing ancora di tentativi di estorsione ai danni degli fruitori. Per di piu sono stati compromessi ed molti account delle vittime verso altre piattaforme (gente siti, webmail, communautaire sistema), chiaramente utilizzando la stessa duetto “email-password” come gli fruitori utilizzavano circa Ashley Madison…
Il quale ha inevitabilmente ampliato i danni, mediante alcuni casi durante maniera caratteristico, estendendoli addirittura verso soggetti terzi considerazione alle vittime dell’attacco passato (si pensi, verso dimostrazione, alle famiglie ovverosia alle aziende degli fruitori del posto, ad esempio date me for pc hanno improvvisamente furti di denaro oppure di informazioni, a capitombolo). Risulta convinto come la formazione degli utenza come oggigiorno la avanti anche superiore contromisura e quale questa formazione non possa con l’aggiunta di essere “di facciata”. Neppure possiamo ed permetterci di considerare gli utenza degli irresponsabili, quale bambini quale non sanno quello che razza di fanno – mediante casi del qualita sinon dovranno ed esporre concrete embargo verso disattenzione anche reato delle policy aziendali. A condizione che queste policy esistano addirittura come si disponga degli strumenti verso verificarne l’applicazione, pacificamente.
LE CONTROMISURE
Seppure l’attacco durante timore come capace circa tutti volte giornali verso la coula struttura “pruriginosa”, quasi nessuna pianificazione italiana si e preoccupata di tentare la intervento di propri indirizzi email nel dump di Ashley Madison di nuovo, contestualmente, di valutarne gli impatti a il conveniente rischio, nonostante cosi come certo che razza di in certain ripulito totalmente interconnesso ogni avvenimento di codesto qualita possa ricevere conseguenze ben al esteriormente del adatto zona originario e trascinare in quella occasione chicchessia.
Le questionario cruciali che tipo di un CISO dovrebbe accollarsi facciata per scadenza breach di corrente risma potrebbero dubbio essere: e una oltraggio delle nostre policy? L’immagine aziendale e a repentaglio? Le relazioni mediante i nostri clientela / fattorino / investitori possono succedere a rischio (forse perche qualcuno ha avvezzo le stesse credenziali di Ashley Madison riguardo a indivisible loro prassi)? Possiamo subire conseguenze legali? Il nostro HR ha trattato le verifiche del caso? Le nostre contromisure adempimento a potenziali frodi, attacchi addirittura estorsioni derivanti dall’attacco sono efficaci (qualora esistono)?
Semmai qualora le risposte non siano soddisfacenti sinon dovra cominciare il conveniente Board su queste tematiche, assicurandosi che razza di i nuovi scenari di allarme siano compresi ancora indirizzati subito, da tutta l’organizzazione, ciascuno verso la propria importanza di assennatezza addirittura senza contare lasciare oltre periodo.