“Cara, ti posso spiegare…” Nelle prossime ore questa frase potrebbe essere pronunciata da molti utenti, o almeno dagli utenti di Ashley Madison, il sito di incontri per persone sposate o impegnate in cerca di avventure, hackerato da poco. Gli hacker hanno minacciato di pubblicare l’intero database rubato (i dati di 37 milioni di utenti) a meno che i proprietari non chiudano due dei loro siti.
Il popolare network di incontri extraconiugali Ashley Madison, con il suo pungente slogan “La vita è breve. Concediti un’avventura!” e il sito web Established Men, che organizza incontri tra donne e uomini ricchi, appartengono entrambi al gruppo Avid Life Media. Gli hacker affermano di voler punire la compagnia per le loro politiche ingiuste: a quanto pare, per cancellare completamente un profilo, l’azienda richiede ai clienti il pagamento di $19 dollari (circa 18 €) . Nonostanteciò, i dati dei clienti non vengono cancellati del tutto, come promesso.
Gli hacker affermano: “gli utenti pagano sempre con carta di credito, i dati dei loro acquisti non vengono rimossi come promesso e questi includono nomi reali ed indirizzi, che sono senza dubbio i dati che più preoccupano gli utenti e che dovrebbero essere rimossi”.
I criminali informatici chiedono quindi a Avid Life Media di chiudere entrambi i siti; se non lo faranno, renderanno pubblici i nomi e gli indirizzi reali dei loro clienti, insieme ai loro segreti, fantasie sessuali e molto altro. Tutto questo sarà online.
Ironicamente, gli hacker permettono all’azienda di mantenere attivi gli altri siti (l’unico altro sito di proprietà di Avid Life Media è Cougar Life, che mette in contatto donne mature con uomini giovani). L’azienda accusa gli hacker di star commettendo un atto criminale.
#TDSBreakingNews Cheating website Ashley Madison hacked. Back to cheating the old-fashioned way: with wife's sister.
— The Daily Show (@TheDailyShow) July 20, 2015
Secondo KrebsOnSecurity, a dimostrazione dell’attacco, alcuni campioni di dati rubati sono già stati pubblicati sul Web, ma Avid Life Media è riuscita a rimuovere i dati pubblicati subito dopo l’incidente. L’azienda ha confermato la breccia e ha affermato di aver ingaggiato “i migliori esperti della polizia scientifica, nonché altri professionisti del settore della sicurezza informatica, per determinare l’origine, la natura e l’obiettivo dell’attacco”.
È possibile che si tratti di un individuo con accesso interno alla network aziendale, un ex impiegato o un libero professionista. Una prova indiretta di questa teoria si troverebbe nella nota che il criminale avrebbe lasciato al direttore di Avid Life Media: “le nostre scuse vanno a Mark Steele. Hai fatto tutto quello che hai potuto, ma niente di quello che hai fatto ha potuto fermarlo”.
Dating site, Match are putting user data at risk with non-HTTPS login. Via @arstechnica – http://t.co/8ojiCWsxbL pic.twitter.com/3gmkxE7w83
— Kaspersky (@kaspersky) April 21, 2015
Per Avid Life Media è a rischio un grande fatturato: nel 2014, secondo gli hacker, il solo servizio di rimozione dei profili di cui accennavamo poch’anzi avrebbe apportato all’azienda circa 1,7 milioni di dollari (circa 1 milione di euro). L’intero progetto Ashley Madison vale circa 1 miliardo di dollari.
Al momento, Avid Life Media non sembra essere incline ad assecondare le richieste degli hacker e chiudere i battenti. D’altro canto, però, è a rischio la privacy di 37 milioni di utenti. Anche se mettessimo da parte questioni morali e possibili problemi familiari, i dati possono essere usati dai criminali per attacchi di phishing e truffe bancarie.
La questione è complessa e non è chiaro chi sia il “cattivo” della storia: Avid Life Media ha promesso sicurezza ai suoi utenti, ma così non è stato. Il report di Electronic Frontier Foundation mostra come i siti di incontri diano molti problemi dal punto di vista della sicurezza e della privacy. Solo un paio di mesi prima, un altro sito di incontri era stato attaccato e sono stati esposti più di 3,5 milioni di dati tra cui preferenze sessuali, perversioni e segreti.
6 heartbreaking #privacy and #security flops on major online dating sites – and what you can do about it. https://t.co/jrY3xXw8
— EFF (@EFF) February 10, 2012
Quando pagate un servizio o un oggetto “personale” con una carta di credito, state comunque condividendo le informazioni con il venditore (e con tutti gli hacker che sono stati così bravi da hackerare il sistema del venditore). Una volta inviati, non c’è marcia indietro.
Ecco perché è fondamentale seguire alcune norme di sicurezza:
– usare canali di comunicazione criptati;
– pagare in contanti se non volete che i vostri dati vengano registrati e usati da venditori poco ortodossi;
– usare un account di posta elettronica e un soprannome diverso da quello abituale per i siti di incontri.
Dating in the digital age & staying safe online. http://t.co/FVE0ylNElM #onlinedating #onlinesecurity pic.twitter.com/PdNZZMIzuS
— Kaspersky (@kaspersky) February 21, 2015
Avid Life Media afferma di essere a punto di beccare gli hacker responsabili dell’attacco. Sfortunatamente, quello che non è chiaro è se le indagini termineranno in tempo per salvare la privacy di milioni di utenti.