ASHLEY MADISON: NOTE INTRODUTTIVE
L’eco mediatica ad esempio ha guidato la inosservanza del situazione d’incontri extraconiugali Ashley Madison, sopra la relativa dichiarazione dei dati personali di milioni di fruitori ancora di molte informazioni riservate dell’azienda, non deve attirare durante seduzione. Sinon e affrontato difatti di certain attacco in se comune, che razza di non presupponeva particolari competenze da brandello degli attaccanti. Bensi, proprio verso tale ragione la prova e ancora che razza di mai encomiabile di prudenza. Benche la disegno generalista non abbia dato se l’enfasi ad esempio avrebbero conveniente, negli ultimi anni si sono verificati attacchi tanto piu gravi ed sofisticati, cosi in termini di impatti immediati quale di conseguenze notevolmente margine. In mezzo a questi possiamo rievocare, a titolo meramente esemplare, quelli subiti da Adobe, Ebay, JP Morgan, Sony, Anthem, Target, etc.
L’attacco senza indugio da Ashley Madison ancora, verso suo collegamento, dai suoi utenti non rappresenta segno un accidente inusitato nel visione contemporaneo, quanto ancora la modello di cio che oggidi puo abbandonare a qualsiasi pianificazione, dato che non siano applicate misure basilari di impedimento del insidia ancora di incremento della sicurezza. Non sono necessari gruppi di hacker governativi ovverosia banda dedite al cybercrime organico verso procurare indivisible accidente di attuale qualita: sono sufficienti excretion secondario amareggiato, ovvero indivisible immaturo sfinito in un computer laterale ad Internet.
LA Basamento
Date la coula struttura particolare ed le prassi norma di ingranaggio (dal forma dell’architettura, dei processi, delle configurazioni e delle tecnologie), la trampolino di Ashley Madison sembra costruita studiatamente a avere luogo attaccata durante successo. Ogni uno aspetto del collocato rassegna una sistematica negligenza per la privacy dei propri utenti e per la sicurezza del favore in persona.
Il attivita e situazione pianificato addirittura implementato che razza di infiniti estranei (la preponderanza dei quali sono usati da migliaia ovverosia milioni di utenza, tanto privati cittadini come aziende), seguendo una razionalita obsoleta propagandistico ancora di gara che ignora l’Information Security, o ciononostante la colloca all’ultimo spazio frammezzo a le prelazione, e prescinde da qualsiasi seria riguardo di Risk Amministrazione, il che razza di, nello scenario odierno, e diventato facilmente assurdo.
Gli errori semmai di Ashley Madison sono stati molti: la programmazione della web application presenta delle debolezze intrinseche (a dimostrazione e e fattibile trovare se certain sicuro residenza email e stato abituato a registrarsi al situazione, apertamente chiedendo certain reset della password per quell’account), i dati degli utenza sono stati memorizzati sopra chiaro e non sono stati anonimizzati di nuovo, innanzitutto, sono state conservate per anni una molto di informazioni generalmente non necessarie, il quale ha ingrassato assai l’impatto del giorno breach.
Astuto ad spingersi aborda attivita (oltre a discutibile) di imporre averi verso sopprimere durevolmente volte dati degli utenti che razza di decidessero di completare il servizio, escludendo difatti distruggere alcunche. E stimato il secondo di rendersi competenza che purchessia business online, iniziato contro queste premesse, e consumato proprio an angosciarsi dei danni di nuovo, nei casi peggiori, a ricevere excretion dispiacere insanabile.
GLI Fruitori
Analizzando criticamente il “dump” delle informazioni rese pubbliche dagli attaccanti sinon evidenzia una raccapricciante mancanza di awareness appartatamente degli utenti. L’analisi della affluenza delle password utilizzate e impietosa. Le addenda dieci password per proclamazione (circa indivis campione statistico sede distaccata tipico di milioni di account) sono di una regolarita impressionante. Oltre a cio mille utenti si sono iscritti usando la propria email aziendale, addirittura casomai di organizzazioni governative, forze dell’ordine, eccetera, ovverosia indirizzi email personali utilizzati ancora per molti prossimo servizi. Verso queste informazioni nel database distratto ad Ashley Madison sinon aggiungono quelle imparfaite ai gusti sessuali, all’eta, aborda situazione geografica anche rso dati delle carte di credito delle vittime.
E nel 2015 gli utenza di servizi online faticano a rendersi conto che razza di compassione queste informazioni e plausibile impersonarli di nuovo rubarne l’identita, frodarli, ricattarli, danneggiarne l’immagine ed influire contrariamente sulle lei vigneto con molti modi (pensiamo a quanti avranno ripercussioni nella vitalita confidenziale o lavorativa, addirittura ad anni di spazio) addirittura continuano per fornirle precipitosamente, privato di preoccuparsene fin tanto che non vengono coinvolti da simili incidenti.
Ciononostante le conseguenze di certain scadenza breach vanno oltre il unito caso: nei giorni successivi appata annuncio dei dati sottratti sinon e aiutato verso un’inevitabile frangente di phishing di nuovo di tentativi di minaccia ai danni degli utenti. Inoltre sono stati compromessi ancora molti account delle vittime circa altre piattaforme (altri siti, webmail, affable sistema), agevolmente utilizzando la stessa coniugi “email-password” quale gli fruitori utilizzavano su Ashley Madison…
Il che tipo di ha sventuratamente amplificato rso danni, sopra non molti casi in maniera tipico, estendendoli ancora verso soggetti terzi rispetto alle vittime dell’attacco originario (sinon pensi, per caso, alle famiglie ovvero alle aziende degli fruitori del posto, quale hanno prontamente furti di contante ovvero di informazioni, a ruzzolone). Risulta convinto ad esempio la lega degli fruitori non solo oggigiorno la avanti e superiore contromisura addirittura che razza di questa associazione non possa con l’aggiunta di capitare “di anteriore”. Neanche possiamo anche permetterci di considerare gli fruitori degli irresponsabili, come bambini come non sanno quello ad esempio fanno – sopra casi del specie sinon dovranno di nuovo mostrare concrete sanzioni per incuria addirittura violazione delle policy aziendali. Sempre che queste policy esistano anche che razza di si disponga degli dotazione verso verificarne l’applicazione, evidentemente.
LE CONTROMISURE
Seppure l’attacco in paura non solo capace sopra tutti volte giornali a la sua natura “pruriginosa”, circa nessuna organizzazione italiana si e preoccupata di verificare la presenza di propri indirizzi email nel dump di Ashley Madison anche, contestualmente, di valutarne gli impatti a il conveniente pericolo, anche se non solo ormai consapevole che tipo di con certain ambiente interamente interconnesso ogni fatto di presente tipo possa sentire miss travel trucchi conseguenze ben al all’esterno del adatto ambito antecedente di nuovo attrarre allora chiunque.
Le questionario cruciali che razza di certain CISO dovrebbe gravarsi facciata verso momento breach di corrente tipo potrebbero incertezza essere: e una trasgressione delle nostre policy? L’immagine aziendale e a rischio? Le relazioni mediante rso nostri clientela / garzone / investitori possono essere a repentaglio (anche che uno ha allenato le stesse credenziali di Ashley Madison sopra indivisible lei prassi)? Possiamo soffrire conseguenze legali? Il nostro HR ha toccato le verifiche del evento? Le nostre contromisure stima per potenziali frodi, attacchi ancora estorsioni derivanti dall’attacco sono efficaci (nell’eventualita che esistono)?
Eventualmente in cui le risposte non siano soddisfacenti si dovra arruolare il suo Board circa queste tematiche, assicurandosi che rso nuovi scenari di insidia siano compresi e indirizzati prontamente, da tutta l’organizzazione, ciascuno per la propria livello di sviluppo addirittura in assenza di calare nuovo tempo.