Il Karma in agguato: Ashley Madison

Quando il sito d’incontri Ashley Madison con base in Canada è stato hackerato, i cybercriminali non hanno perso tempo per trarne beneficio. Anche adesso, un anno dopo, continuano a ricattare la gente e a tenere in ostaggio i loro dati. Diamo un’occhiata a cosa era successo allora e vediamo cosa sta succedendo adesso.

Un anno fa, un’enorme violazione di dati ha avuto un profondo impatto sulla vita degli utenti iscritti al sito Ashley Madison, un sito di “incontri” per gente sposata, e ha quasi fatto fallire una florida ma controversa azienda.

Gli hacker di Ashley Madison, un gruppo prima sconosciuto che si faceva chiamare “Impact Team”, hanno smascherato più di 37 milioni di dati degli utenti provenienti da 40 paesi, così come il codice sorgente del sito web e la corrispondenza aziendale interna tra i vertici dell’azienda. A causa della natura del sito (gli utenti erano persone sposate che volevano incontrare altra gente sposata per relazioni extraconiugali), questa violazione ha cambiato drasticamente molte vite e ha permesso ai cybercriminali di comportarsi come predatori nei confronti delle vittime dell’attacco informatico.

“Se lo sono meritato”

Normalmente gli hacker rubano dati per rivenderli sul Darkweb, ma i colpevoli dell’attacco informatico di Ashley Madison sembrano cercare giustizia, non soldi.

Prima di tutto, l’Impact Team ha inviato una nota informativa agli amministratori di Avid Life Media, l’azienda madre di Ashley Madison. La nota informava Avid Life che il gruppo aveva hackerato l’infrastruttura dell’azienda, richiedendo la chiusura di tre dei suoi siti di incontri. Se Avid Life non l’avesse fatto, i dati dei suoi utenti sarebbero stati resi pubblici. L’azienda ha rifiutato e, 30 giorni dopo, i ricattatori hanno messo in atto la loro minaccia.

Non appena è avvenuto tutto ciò, gli utenti hanno iniziato ad entrare nel panico, temendo non tanto eventuali danni alle proprie carte di credito, ma l’esposizione pubblica delle proprie relazioni amorose e delle foto private. Gli investigatori, nel frattempo, si sono messi a lavoro e hanno iniziato ad analizzare il codice sorgente del sito web, scoprendo presto alcune informazioni curiose.

In primo luogo, il codice sorgente di Ashley Madison conteneva una serie di vulnerabilità, che aveva permesso agli hackers di infiltrarsi nell’infrastruttura del sito web non appena trovato il punto d’entrata. In secondo luogo, l’analisi ha mostrato che il sito adottava delle regole poco ferree in quanto a password: le password dovevano contenere dai 5 agli 8 caratteri, con solo due tipi di caratteri supportati.

Avid Life Media e i suoi clienti hanno dovuto fare i conti con le conseguenze della violazione di dati su larga scala che, a causa della natura del servizio di Ashley Madison, è sembrata più dura rispetto alle conseguenze negative delle violazioni di altri servizi più conosciuti.

Danni aziendali: reputazione macchiata, sogni distrutti

In generale, la reazione pubblica alla violazione dei dati è stata una risata trattenuta a malapena. Molti hanno considerato tale violazione come una punizione del Karma. Dopo tutto, il modello commerciale di Avid Life Media era costruito su infedeltà e bugie. Dopo la fuga di dati, tra cui informazioni aziendali confidenziali, gli investigatori li analizzarono: fu questo il momento in cui si scatenò la furia dei clienti.

La ricerca ha mostrato che il cavallo di battaglia di Ashley Madison, nonché parte dell’immagine del brand che tanto aveva contribuito ad attrarre decine di milioni di persone, era tutta una farsa. Una delle funzionalità più publicizzate, mirate a rendere a proprio agio gli utenti , era l’opzione di “cancellazione totale”, che ha dato agli utenti la possibilità di cancellare i propri profili in maniera completa e permanente (si tratta di un servizio per il quale il sito fece pagare fino a 19$). Questa funzione ha fruttato alla Ashley Madison più di 1,7 milioni di dollari all’anno.

Ad ogni modo, il servizio cancellava esclusivamente i dati del profilo, mantenendo invece in archivio i dati relativi al pagamento; pertanto, i veri nomi dei clienti, gli indirizzi delle fatture e i dati della carta di credito sono rimasti sui server dell’azienda. Anche se una persona aveva utilizzato uno pseudonimo per registrarsi, il suo vero nome si trovava permanentemente nel sistema.

Altre ricerche hanno portato a galla un’altra interessante notizia: la maggior parte delle donne iscritte a Ashley Madison e che civettavano sul sito erano in realtà delle chatbot il cui unico scopo era quello di attirare i nuovi arrivati, affinché provassero il servizio iniziando una conversazione per poi farli pagare per poterla continuare. Le chatbot non erano uno sbaglio innocente: l’inganno era intenzionale e presupponeva un gran lavoro di codifica e anche alcune analisi riguardo le preferenze dei clienti: ad esempio, alcuni venivano accoppiati con “donne” che sembravano essere della stessa etnia.

In sostanza, Avid Life Media era abbastanza indifesa agli occhi di questi sconosciuti e inarrestabili hacker, e questo è costato tanto all’azienda. Appena un paio di mesi dopo l’attacco in rete, la società aveva programmato l’entrata in borsa ma quando scoppiò l’inferno, tutto ciò divenne inutile; non c’era alcuna possibilità di raggiungere i 200 milioni precedentemente anticipati sul prezzo iniziale delle azioni. Al contrario, Avid Life Media stava affrontando cause, controlli e le dimissioni dell’Amministratore Delegato, Noel Biderman.

L’incidente ha costretto Ashley Madison a rinnovare completamente il suo marchio: un anno dopo la violazione dei dati, Ashley Madison aveva cambiato la sua offerta di base e aveva cambiato il marchio. Lo slogan provocatorio “La vita è breve. Vivi un’avventura” è scomparso. Adesso, i visitatori del sito vedranno uno slogan che potrebbe apparire in qualsiasi sito di incontri: “La vita è breve. Trova il tuo momento”. Il servizio ha abbandonato la sua immagine di sito web di infedeltà e adesso si definisce “il miglior posto per incontrare relazioni vere e discrete con adulti dalla mentalità aperta”.

La punizione degli utenti: divorzio, vergogna, sofferenza

Mentre Avid Life Media cercava disperatamente di mitigare l’effetto della violazione di dati, offrendo una ricompensa di 500.000 dollari per ogni informazione vitale in mano agli hacker, gli utenti potevano solo prepararsi per affrontare tempi duri. Durante le settimane successive alla violazione, il servizio clienti di Avid Life Media smise di fornire informazioni utili, non rispondendo a migliaia di richieste sconvolgenti e lasciando i propri utenti completamente da soli.

Un numero infinito di matrimoni era sull’orlo del divorzio e le vittime avevano il terrore di confidarsi con i propri partner che, in alcuni casi, li hanno anche indotti a decisioni difficili e perfino tragiche.

Nel frattempo, i difensori online della moralità e della fedeltà coniugale hanno continuato a criticare spietatamente i membri del sito. Un DJ di una radio australiana ha detto in diretta ad una donna che suo marito era iscritto al sito Ashley Madison e un giornale della Georgia ha reso pubblici tutti i nomi violati.

L’imminente minaccia incombeva su migliaia di ufficiali militari, sul clero, sulle celebrità, sui politici e su altre figure pubbliche, la cui reputazione avrebbe subito un gravissimo danno.

Secondo alcune notizie della stampa molti ufficiali militari o impiegati delle agenzie governative utilizzavano i propri indirizzi e-mail del lavoro per iscriversi al sito Ashley Madison. Nonostante le notizie non fossero confermate, le voci fecero calare un’ombra su molte istituzioni importanti, incluso sull’ufficio del Primo Ministro inglese.

Grandi opportunità per i criminali: estorsione, spam e phishing

I criminali che stavano dietro l’attacco informatico non erano le solite persone sospette che rubano le credenziali per denaro. Ma dopo che l’Impact Team ha dato il via all’attacco, le altre cybergang non hanno perso tempo.

Inizialmente, gli utenti colpiti erano facili obiettivi di truffe, come quelle che avevano come target le carte di credito. Nonostante molti utenti del sito Ashley Madison si fossero registrati con un nome falso, questi hanno dovuto poi svelare la propria identità al momento di pagare. Il database violato non sembrava includere i dati completi delle carte di credito, ma in qualche caso, i criminali erano in grado di utilizzare le ultime quattro cifre per ottenere il numero completo della carta di credito con il quale potevano rubare denaro dai conti correnti bancari o effettuare acquisti online.

Ma nel caso di Ashley Madison, le truffe della carta di credito non furono l’unico modo per approfittarsi dei dati degli utenti. Con i dati privati in mano, i ricattatori si misero in contatto con le vittime e li minacciarono di raccontare ai propri familiari o datori di lavoro le loro scappatelle o di condividere foto strettamente personali e la corrispondenza con gli amici di Facebook delle vittime o con i collegamenti di LinkedIn. Affrontando un’intollerabile divulgazione di dati, alcune vittime pagarono il riscatto senza alcuna prova del fatto che gli estorsori avrebbero dato loro tregua. Ad ogni modo, denunciare i ricattatori alla polizia si rivelò essere impossibile.

Complotti simili avvengono ancora adesso. Un abbonato del New Jersey ha condiviso recentemente la sua storia in maniera anonima. “Il Sig. Smith”, divorziato, si era iscritto al sito Ashley Madison con il suo vero nome e utilizzando la propria carta di credito. Dopo poco tempo, aveva ricevuto una lettera dai ricattatori che sostenevano di possedere la sua corrispondenza privata, i dati bancari e così via.

L’e-mail diceva: “Abbiamo accesso anche alla tua pagina Facebook. Se vuoi evitare che queste informazioni ‘pericolose’ vengano condivise con tutti i tuoi amici, la tua famiglia, tua moglie, allora devi inviarci esattamente 5 bitcoin (BTC) al seguente indirizzo BTC… Hai 24 ore di tempo. Pensa a quanto possa costare un avvocato divorzista. Se non hai più una relazione sentimentale, pensa a quanto tutto questo potrebbe compromettere la tua reputazione con famiglia ed amici. Cosa penseranno loro di tutto questo…”.

Smith non pensava di aver fatto nulla di vergognoso, per questo motivo invece di pagare una somma di denaro, decise di condividere le informazioni con il resto del mondo. Come avrebbero reagito le altre vittime? Solo loro potevano saperlo.

 

Le notizie sull’attacco informatico al “sito web dell’infedeltà” diede velocemente vita ad una nuova ondata di siti di phishing. La gente preoccupata della fedeltà dei propri partner era indirizzata, proprio come gli utenti del sito Ashley Madison, a pagine web in cui era possibile inserire l’indirizzo e-mail per verificare se erano presenti sul database di Ashley Madison.

Ciò nonostante, la gente iscritta a siti del genere con una e-mail correva il rischio di essere vittima di attacchi spam o phishing. I cybercriminali crearono pagine web false per ottenere i veri indirizzi e-mail e utilizzarli poi per fare spam o phishing. Non appena qualcuno digitava un indirizzo e-mail, questo veniva inviato senza alcuna protezione alla gente che l’avrebbe facilmente utilizzato per truffare.

Post mortem

È passato un anno dalla violazione dei dati di Ashley Madison e abbiamo sentito parlare di molte altre grandi violazioni e delle loro conseguenze. Eppure, l’attacco informatico di Ashley Madison ha avuto un impatto diverso, più personale e profondo rispetto al furto dei numeri delle carte di credito o delle password delle reti sociali. Si trafficò con storie private che altrimenti non avrebbero mai visto la luce del giorno e furono esposte a tutti.

Alcune violazioni di dati hanno un effetto duraturo nel tempo sia sul servizio coinvolto che sugli utenti. Ad esempio, si può solo pensare a cosa sarebbe successo se i malfattori avessero ideato uno strumento per confrontare i dati di Ashley Madison con quelli di altri grandi attacchi informatici, come quello dell’Ufficio Gestione Personale degli Stati Uniti d’America. Quella fuga di notizie aveva compromesso i dati personali di milioni di persone che lavoravano nel governo americano, inclusi molti che avevano accesso a informazioni confidenziali.

Fino ad adesso, conosciamo tre famosissime cause contro Avid Life Media. Tuttavia, molti divorzi sono passati inosservati. Milioni di persone hanno ancora paura che la propria infedeltà possa essere scoperta. Avid Life Media, un’azienda promettente fino a metà del 2015, è stata costretta a riconsiderare la sua strategia di sviluppo. L’azienda vivrà con le conseguenze della violazione di dati per molti altri anni.

Il matrimonio e la fedeltà non sono fatti nostri; sono decisioni personali e fare la predica alla gente per tali decisioni non faceva parte del nostro piano. Ma siamo nella strana posizione di dover mettere in guardia gli utenti che hanno scelto di mettere online queste decisioni tanto intime. Il rischio è fortemente aumentato sia per le persone impegnate che per quelle single che hanno intrattenuto relazioni amorose online. I loro dati personali e la loro reputazione sono a rischio. E la natura di questo tipo di informazioni private li rende più vulnerabili ai cybercriminali che utilizzano questi sporchi trucchetti, come il ricatto e l’estorsione.

Se vuoi ancora esplorare le torbide acque degli incontri online, devi tenere bene in mente alcuni suggerimenti che ti possono aiutare a mitigare il rischio di una potenziale violazione di dati:

  • Sta’ attento alla tua sicurezza, non ti aspettare che sia il sito web a farlo per te. Cerca di evitare i pagamenti con la carta di credito; utilizza carte regalo se possibile e inserisci un nome e un indirizzo falso nel tuo profilo.
  • Non scambiare con altra gente foto in cui sei nudo, anche e soprattutto se vieni costretto. Potresti anche fidarti della persona con cui stai chattando, ma al giorno d’oggi nessuno è al sicuro dalle violazioni di dati, per cui pensa sempre al peggio.
  • Non utilizzare mai il tuo indirizzo e-mail del lavoro per iscriverti. Il fatto che un hacker possa parlare con il tuo datore di lavoro è una grande opportunità di ricatto (potrebbe anche dare il via ad attacchi di ingegneria sociale, compromettendo la sicurezza della tua azienda.
  • Utilizza un nome falso. Per mantenere la massima discrezione, non registrarti con il tuo vero nome e non utilizzare gli account delle reti sociali per autenticarti. Maggiore è il numero di informazioni su di te che i truffatori riescono ad ottenere, più facile sarà per loro scovarti.
  • Qualora dovessi essere colpito da una violazione di dati, non comprare nessuna offerta per controllare se le tue informazioni sono inserite all’interno del database che ha subito un attacco informatico; potrebbe essere una trappola. Se vuoi effettuare un controllo sicuro, dovresti provare HavelBennPwned?, un sito web creato dall’hacker bianco e ricercatore di sicurezza Troy Hunt.
  • Se i tuoi dati sono stati compromessi, assicurati di cambiare le password degli altri servizi online in cui hai utilizzato password simili o identiche: gli hacker sono ben consapevoli del fatto che gli utenti sono soliti utilizzare più volte le stesse password. Basta un attimo di esitazione e gli hacker potrebbero decidere di hackerare i tuoi account Facebook o LinkedIn, o ancor peggio, il tuo account e-mail. Potresti anche aver bisogno di richiedere delle nuove carte di credito.
  • Forse la cosa più importante di tutte: cerca sempre di ricordarti che il tuo account potrebbe essere hackerato in qualsiasi momento. Sfortunatamente, di questi tempi una violazione informatica non è una questione di se ma di quando.
Consigli