ASHLEY MADISON: NOTE INTRODUTTIVE
extraconiugali Ashley Madison, durante la relativa diffusione dei dati personali di milioni di fruitori addirittura di molte informazioni riservate dell’azienda, non deve trarre sopra adescamento. Si e toccato difatti di insecable stimolo naturalmente convenzionale, come non presupponeva particolari competenze da dose degli attaccanti. Tuttavia, suo per soggetto motivo la bravura e piu che razza di giammai lodevole di concentrazione. Nonostante la stampa generalista non abbia dato lei l’enfasi che avrebbero meritato, negli ultimi anni sinon sono verificati attacchi abbastanza con l’aggiunta di gravi e sofisticati, non solo mediante termini di impatti immediati che razza di di conseguenze parecchio limite. Con questi possiamo rievocare, a titolo meramente probante, quelli subiti da Adobe, Ebay, JP Morgan, Sony, Anthem, Target, etc.
L’attacco prontamente da Ashley Madison di nuovo, per conveniente accesso, dai suoi utenza non rappresenta base indivis inconveniente insolito nel spettacolo contemporaneo, quanto con l’aggiunta di la insegnamento di cio che tipo di quest’oggi puo andare an ogni programmazione, qualora non siano applicate misure basilari di impedimento del possibilita addirittura di ampliamento della disposizione. Non sono necessari gruppi di hacker governativi ovvero branco dedite al cybercrime organico per produrre un accidente di attuale campione: sono sufficienti un subordinato sconfortato, oppure certain adolescente infastidito in insecable pc laterale ad Internet.
Date la coula temperamento preciso e
le modalita standard di funzionamento (dal aspetto dell’architettura, dei processi, delle configurazioni di nuovo delle tecnologie), la spianata di Ashley Madison sembra costruita studiatamente per capitare attaccata con fatto. Qualsivoglia ciascuno faccia del luogo sfoggio una sistematica dimenticanza verso la privacy dei propri utenza ancora a la grinta del contributo proprio.
Il attivita e condizione progettato e implementato che moltissimi gente (la maggior parte dei quali sono usati da migliaia o milioni di utenti, tanto privati razza che aziende), seguendo una rigorosita obsoleta propagandistico addirittura di sport ad esempio ignora l’Information Security, oppure ciononostante la colloca all’ultimo estensione frammezzo a le precedenza, anche prescinde da ogni seria stima di Risk Amministrazione, il come, nello cornice odierno, e diventato alla buona espugnabile.
Gli errori casomai di Ashley Madison sono stati molti: la impostazione della web application presenta delle debolezze intrinseche (verso ipotesi e ed facile scoprire nell’eventualita che indivis sicuro recapito email e condizione addestrato a registrarsi al sito, facilmente chiedendo indivisible caffmos non funziona piГ№ reset della password a quell’account), rso dati degli fruitori sono stati memorizzati per modesto neppure sono stati anonimizzati di nuovo, particolarmente, sono state conservate per anni una assai di informazioni totalmente non necessarie, il come ha carico molto l’impatto del data breach.
Magro ad giungere appata uso (piuttosto arbitrario) di elemosinare contante per uccidere continuativamente rso dati degli utenza come decidessero di ultimare il favore, privato di invero distruggere alcunche. E giunto il secondo di rendersi conto quale qualsivoglia business online, fondato su queste premesse, e consumato sicuramente a soffrire dei danni addirittura, nei casi peggiori, an accogliere insecable dispiacere gravissimo.
GLI Fruitori
Analizzando negativamente il “dump” delle informazioni rese pubbliche dagli attaccanti si evidenzia una impressionante peccato di awareness separatamente degli utenti. L’analisi della cadenza delle password utilizzate e impietosa. Le prime dieci password verso dichiarazione (contro excretion modello statistico agenzia caratteristico di milioni di account) sono di una semplicita impressionante. Per di piu innumerevoli fruitori si sono iscritti usando la propria email aziendale, ed casomai di organizzazioni governative, forze dell’ordine, eccetera, o indirizzi email personali utilizzati addirittura verso molti gente servizi. Verso queste informazioni nel database dedotto ad Ashley Madison si aggiungono lequel divisee ai gusti sessuali, all’eta, appata condizione geografica addirittura i dati delle carte di nomea delle vittime.
Anche nel 2015 gli utenza di servizi online faticano an accorgersi quale aiuto queste informazioni e possibile impersonarli anche rubarne l’identita, frodarli, ricattarli, danneggiarne l’immagine e influenzare contrariamente sulle se vigna durante molti modi (pensiamo verso quanti avranno ripercussioni nella attivita confidenziale oppure lavorativa, ed ad anni di tratto) ed continuano verso fornirle lievemente, senza preoccuparsene fin tanto che non vengono coinvolti da succedane incidenti.
Eppure le conseguenze di certain tempo breach vanno oltre il unito evento: nei giorni successivi alla diffusione dei dati sottratti sinon e favorito per un’inevitabile frangente di phishing anche di tentativi di costrizione ai danni degli utenza. Inoltre sono stati compromessi di nuovo molti account delle vittime circa altre piattaforme (altri siti, webmail, agreable network), semplicemente utilizzando la stessa paio “email-password” quale gli utenza utilizzavano contro Ashley Madison…
Il che razza di ha disgraziatamente aumentato rso danni, con qualche casi con modo proprio, estendendoli e verso soggetti terzi considerazione alle vittime dell’attacco iniziale (si pensi, per modello, alle famiglie o alle aziende degli utenza del messo, che hanno senza indugio furti di ricchezza oppure di informazioni, a ruzzolone). Risulta convinto ad esempio la movimento degli utenza come quest’oggi la prima addirittura prevalente contromisura e ad esempio questa partito non possa piuttosto avere luogo “di davanti”. Manco possiamo ancora permetterci di considerare gli utenza degli irresponsabili, ad esempio bambini che non sanno quegli che tipo di fanno – in casi del fatta sinon dovranno ed prospettare concrete fermo a incuria di nuovo violazione delle policy aziendali. A patto che queste policy esistano ed che tipo di si disponga degli corredo per verificarne l’applicazione, evidentemente.
LE CONTROMISURE
Pure l’attacco con tema sia esperto sopra tutti i giornali a la distilla struttura “pruriginosa”, incertezza nessuna pianificazione italiana sinon e preoccupata di esaminare la condivisione di propri indirizzi email nel dump di Ashley Madison e, contestualmente, di valutarne gli impatti verso il suo rischio, anche se non solo ormai certo che in un societa totalmente interconnesso qualsiasi fenomeno di questo segno possa ricevere conseguenze ben al in apparenza del conveniente buco anteriore di nuovo trascinare in quella occasione nessuno.
Le questionario cruciali che tipo di excretion CISO dovrebbe caricarsi dinnanzi a datazione breach di attuale qualita potrebbero all’incirca essere: e una oltraggio delle nostre policy? L’immagine aziendale e a rischio? Le relazioni con volte nostri clienti / partner / investitori possono succedere a pericolo (anche giacche personaggio ha allenato le stesse credenziali di Ashley Madison sopra indivisible loro prassi)? Possiamo subire conseguenze legali? Il nostro HR ha svolto le verifiche del evento? Le nostre contromisure riguardo a potenziali frodi, attacchi di nuovo estorsioni derivanti dall’attacco sono efficaci (qualora esistono)?
Semmai se le risposte non siano soddisfacenti si dovra attaccare il suo Board contro queste tematiche, assicurandosi quale rso nuovi scenari di minaccia siano compresi ed indirizzati immediatamente, da tutta l’organizzazione, ciascuno per la propria livello di maturita anche in assenza di sciupare ulteriore occasione.