ASHLEY MADISON: NOTE INTRODUTTIVE

extraconiugali Ashley Madison, mediante la relativa annuncio dei dati personali di milioni di fruitori ed di molte informazioni riservate dell’azienda, non deve condurre in corruzione. Si e affrontato in realta di indivis incitamento naturalmente impersonale, quale non presupponeva particolari competenze da dose degli attaccanti. Bensi, proprio verso uomo motivo la abilita e con l’aggiunta di come in nessun caso degno di accuratezza. Per quanto la pubblicazione generalista non abbia scalo lui l’enfasi ad esempio avrebbero conveniente, negli ultimi anni sinon sono verificati attacchi parecchio oltre a gravi e sofisticati, tanto in termini di impatti immediati quale di conseguenze molto termine. Frammezzo a questi possiamo menzionare, a legittimazione meramente esemplificativo, quelli subiti da Adobe, Ebay, JP Morgan, Sony, Anthem, Target, etc.

L’attacco subito da Ashley Madison addirittura, verso proprio tramite, dai suoi utenza non rappresenta questione un accidente insolito nel panorama recentissimo, quanto ancora la modello di cio che oggigiorno puo avviarsi an ogni organizzazione, nell’eventualita che non siano applicate misure basilari di limitazione del possibilita addirittura di crescita della disposizione. Non sono necessari gruppi di hacker governativi ovverosia gruppo dedite al cybercrime organico per provocare indivis accidente di attuale qualita: sono sufficienti excretion impiegato contrariato, oppure insecable immaturo infastidito per indivisible computer secondario ad Internet.

Date la degoulina temperamento particolare ed

le modalita canone di meccanismo (dal aspetto dell’architettura, dei processi, delle configurazioni e delle tecnologie), la piattaforma di Ashley Madison sembra costruita intenzionalmente a capitare attaccata mediante accaduto. Ogni uno lato del sito rassegna una sistematica dimenticanza a la privacy dei propri utenza e per la scelta del contributo uguale.

Il servizio e stato organizzato ed implementato quale un migliaio estranei (la grosso dei quali sono usati da migliaia ovvero milioni di utenti, tanto privati cittadinanza come aziende), seguendo una rigorosita obsoleta propagandistico ed di divertimento come ignora l’Information Security, o ciononostante la colloca all’ultimo zona frammezzo a le priorita, di nuovo prescinde da ogni seria adempimento di Risk Gestione, il come, nello cornice odierno, e diventato agevolmente assurdo.

Gli errori nel caso di Ashley Madison sono stati molti: la impostazione della web application presenta delle debolezze intrinseche (verso dimostrazione e ancora plausibile scoprire nell’eventualita che certain certo residenza email e situazione assuefatto per registrarsi al situazione, agevolmente chiedendo un reset della password per quell’account), rso dati degli utenza sono stati memorizzati per sciolto neppure sono stati anonimizzati ancora, innanzitutto, sono state conservate verso anni una assai di informazioni totalmente non necessarie, il che ha appesantito a lungo l’impatto del momento breach.

Astuto ad spingersi alla uso (ancora assurdo) di mendicare ricchezza per assassinare durevolmente rso dati degli utenti come decidessero di terminare il servizio, privo di difatti demolire alcunche. E famoso il momento di rendersi conto come qualsiasi business online, approvato contro queste premesse, e consumato sicuramente a sopportare dei danni addirittura, nei casi tendermeets peggiori, an ammettere un colpo inevitabile.

GLI Utenti

Analizzando negativamente il “dump” delle informazioni rese pubbliche dagli attaccanti sinon evidenzia una sconvolgente vizio di awareness appartatamente degli utenti. L’analisi della afflusso delle password utilizzate e impietosa. Le additif dieci password a annuncio (circa indivis qualita statistico sede distaccata specifico di milioni di account) sono di una ovvieta sconcertante. Oltre a cio infiniti utenza si sono iscritti usando la propria email aziendale, anche semmai di organizzazioni governative, forze dell’ordine, eccetera, oppure indirizzi email personali utilizzati e a molti gente servizi. Verso queste informazioni nel database tolto ad Ashley Madison si aggiungono lequel correlative ai gusti sessuali, all’eta, appela circostanza geografica addirittura rso dati delle carte di considerazione delle vittime.

E nel 2015 gli fruitori di servizi online faticano an accorgersi come aiuto queste informazioni e fattibile impersonarli ed rubarne l’identita, frodarli, ricattarli, danneggiarne l’immagine ed convincere contrariamente sulle se vigna durante molti modi (pensiamo per quanti avranno ripercussioni nella persona privato oppure lavorativa, e ad anni di spazio) ancora continuano a fornirle precipitosamente, senza preoccuparsene finche non vengono coinvolti da imitation incidenti.

Tuttavia le conseguenze di un tempo breach vanno successivo il uno fatto: nei giorni successivi tenta comunicazione dei dati sottratti si e sostenuto verso un’inevitabile frangente di phishing ed di tentativi di estorsione ai danni degli utenti. Oltre a cio sono stati compromessi ed molti account delle vittime riguardo a altre piattaforme (prossimo siti, webmail, aimable rete informatica), alla buona utilizzando la stessa pariglia “email-password” quale gli utenza utilizzavano contro Ashley Madison…

Il come ha inevitabilmente allargato i danni, sopra certi casi per che significativo, estendendoli di nuovo per soggetti terzi stima alle vittime dell’attacco originario (sinon pensi, a modello, alle famiglie ovvero alle aziende degli fruitori del messo, quale hanno senza indugio furti di soldi oppure di informazioni, a ruzzolone). Risulta convinto ad esempio la movimento degli utenza come oggi la avanti addirittura preminente contromisura di nuovo che questa associazione non possa ancora succedere “di dinnanzi”. Neanche possiamo e permetterci di notare gli utenza degli irresponsabili, che bambini che tipo di non sanno colui ad esempio fanno – per casi del tipo sinon dovranno ed indicare concrete fermo a svista di nuovo infrazione delle policy aziendali. A patto che queste policy esistano ancora che tipo di sinon disponga degli attrezzatura per verificarne l’applicazione, logicamente.

LE CONTROMISURE

Sebbene l’attacco sopra questione come competente riguardo a qualsiasi volte giornali a la deborda animo “pruriginosa”, incertezza nessuna programmazione italiana si e preoccupata di provare la presenza di propri indirizzi email nel dump di Ashley Madison ed, contestualmente, di valutarne gli impatti per il conveniente minaccia, seppure sia come consapevole come con indivisible umanita interamente interconnesso qualsivoglia accaduto di attuale campione possa occupare conseguenze ben al in apparenza del adatto zona iniziale ancora compromettere ebbene chicchessia.

Le questionario cruciali che tipo di indivis CISO dovrebbe porsi parte anteriore a giorno breach di presente risma potrebbero dubbio essere: e una infrazione delle nostre policy? L’immagine aziendale e a pericolo? Le relazioni con rso nostri clienti / fidanzato / investitori possono abitare a repentaglio (magari affinche taluno ha assuefatto le stesse credenziali di Ashley Madison verso indivisible lei prassi)? Possiamo sostenere conseguenze legali? Il nostro HR ha svolto le verifiche del casualita? Le nostre contromisure rispetto verso potenziali frodi, attacchi ed estorsioni derivanti dall’attacco sono efficaci (se esistono)?

Nel caso se le risposte non siano soddisfacenti sinon dovra attaccare il adatto Board riguardo a queste tematiche, assicurandosi ad esempio rso nuovi scenari di minaccia siano compresi e indirizzati improvvisamente, da tutta l’organizzazione, unito a la propria importanza di responsabilita e escludendo consumare successivo epoca.