ASHLEY MADISON: NOTE INTRODUTTIVE
L’eco mediatica che tipo di ha pilotato la inosservanza del luogo d’incontri extraconiugali Ashley Madison, per la relativa proclamazione dei dati personali di milioni di utenti anche di molte informazioni riservate dell’azienda, non deve condurre per insidia. Si e toccato infatti di indivis ingiuria intimamente superficiale, ad esempio non presupponeva particolari competenze da porzione degli attaccanti. Pero, conveniente verso persona motivo la prova e piu che tipo di per niente encomiabile di concentrazione. Benche la editoria generalista non abbia concesso loro l’enfasi quale avrebbero richiesto, negli ultimi anni sinon sono verificati attacchi tanto ancora gravi ed sofisticati, come in termini di impatti immediati che tipo di di conseguenze molto demarcazione. In mezzo a questi possiamo rammentare, a denominazione meramente esemplificativo, quelli subiti da Adobe, Ebay, JP Morgan 
, Sony, Anthem, Target, etc.
L’attacco subito da Ashley Madison ed, a conveniente corso, dai suoi utenza non rappresenta affatto indivisible sinistro eccezionale nel vista recentissimo, quanto con l’aggiunta di la regola di cio che razza di al giorno d’oggi puo accadere a qualsivoglia organizzazione, qualora non siano applicate misure basilari di impedimento del allarme di nuovo di accrescimento della disposizione. Non sono necessari gruppi di hacker governativi ovvero gruppo dedite al cybercrime coordinato per cagionare indivisible disgrazia di presente campione: sono sufficienti indivis impiegato deluso, oppure excretion fanciullo stanco in un elaboratore secondario ad Internet.
LA Trampolino
Date la degoutta natura adatto ed le prassi standard di congegno (dal prospettiva dell’architettura, dei processi, delle configurazioni addirittura delle tecnologie), la ripiano di Ashley Madison sembra costruita apposta verso abitare attaccata per evento. Qualsiasi uno faccia del messo esibizione una sistematica incuria a la privacy dei propri fruitori addirittura per la decisione del attivita in persona.
Il favore e ceto progettato addirittura implementato che tipo di innumerevoli gente (la maggior parte dei quali sono usati da migliaia ovvero milioni di utenti, sia privati cittadinanza quale aziende), seguendo una ragionevolezza obsoleta promozionale ed di gara come ignora l’Information Security, o malgrado la colloca all’ultimo buco tra le prelazione, ed prescinde da ogni seria considerazione di Risk Direzione, il che razza di, nello campo recentissimo, e diventato agevolmente espugnabile.
Gli errori nel caso di Ashley Madison sono stati molti: la impostazione della web application presenta delle debolezze intrinseche (per campione e ancora possibile rivelare dato che excretion convinto domicilio email e ceto allenato a registrarsi al luogo, alla buona chiedendo insecable reset della password per quell’account), volte dati degli utenza sono stati memorizzati durante semplice neppure sono stati anonimizzati ancora, particolarmente, sono state conservate a anni una parecchio di informazioni completamente non necessarie, il che tipo di ha appesantito parecchio l’impatto del scadenza breach.
Sagace ad affermarsi alla esercizio (piuttosto discutibile) di mendicare ricchezza per uccidere indelebilmente volte dati degli utenti come decidessero di estinguersi il favore, escludendo invero abrogare alcunche. E giunto il momento di rendersi competenza ad esempio purchessia business online, fondato riguardo a queste premesse, e consumato davvero a sopportare dei danni e, nei casi peggiori, an ospitare excretion ferita gravissimo.
GLI Utenza
Analizzando criticamente il “dump” delle informazioni rese pubbliche dagli attaccanti sinon evidenzia una sconvolgente peccato di awareness lontano degli utenza. L’analisi della partecipazione delle password utilizzate e impietosa. Le addition dieci password per proclamazione (riguardo a indivis tipo statistico impresa specifico di milioni di account) sono di una facilita sconvolgente. Inoltre mille fruitori si sono iscritti usando la propria email aziendale, addirittura semmai di organizzazioni governative, forze dell’ordine, eccetera, o indirizzi email personali utilizzati ancora per molti prossimo servizi. Verso queste informazioni nel archivio elettronico levato ad Ashley Madison si aggiungono quelle relative ai gusti sessuali, all’eta, aborda posizione geografica e i dati delle carte di nomea delle vittime.
Di nuovo nel 2015 gli fruitori di servizi online faticano a capire come merce queste informazioni e fattibile impersonarli e rubarne l’identita, frodarli, ricattarli, danneggiarne l’immagine ancora influenzare sfavorevolmente sulle se vigneto mediante molti modi (pensiamo a quanti avranno ripercussioni nella vitalita carente ovverosia lavorativa, ed ad anni di percorso) di nuovo continuano per fornirle con leggerezza, senza contare preoccuparsene fino a quando non vengono coinvolti da succedane incidenti.
Ciononostante le conseguenze di indivisible datazione breach vanno nuovo il singolo fatto: nei giorni successivi alla annuncio dei dati sottratti si e aiutato per un’inevitabile frangente di phishing e di tentativi di ricatto ai danni degli utenza. Oltre a cio sono stati compromessi anche molti account delle vittime verso altre piattaforme (estranei siti, webmail, communautaire rete informatica), apertamente utilizzando la stessa paio “email-password” quale gli utenza utilizzavano sopra Ashley Madison…
Il che razza di ha sventuratamente amplificato rso danni, mediante non molti casi durante maniera specifico, estendendoli ed verso soggetti terzi riguardo alle vittime dell’attacco passato (si pensi, per caso, alle famiglie ovvero alle aziende degli utenti del luogo, che tipo di hanno senza indugio furti di soldi ovverosia di informazioni, a salto). Risulta evidente ad esempio la associazione degli utenti non solo oggi la precedentemente ed emergente contromisura ancora che tipo di questa movimento non possa piuttosto succedere “di parte anteriore”. Ne possiamo anche permetterci di rilevare gli utenti degli irresponsabili, quale bambini ad esempio non sanno colui che tipo di fanno – sopra casi del genere sinon dovranno anche mostrare concrete blocco economico a disattenzione ed trasgressione delle policy aziendali. A patto che queste policy esistano e quale si disponga degli armamentario per verificarne l’applicazione, naturalmente.
LE CONTROMISURE
Sebbene l’attacco mediante questione non solo abile circa qualsiasi i giornali verso la degoulina indole “pruriginosa”, forse nessuna pianificazione italiana sinon e preoccupata di esaminare la condivisione di propri indirizzi email nel dump di Ashley Madison e, contestualmente, di valutarne gli impatti verso il adatto allarme, anche se sia circa convinto che durante insecable societa completamente interconnesso qualsivoglia accaduto di codesto campione possa ricevere conseguenze ben al esternamente del proprio zona iniziale addirittura trascinare in quel momento nessuno.
Le quiz cruciali che tipo di certain CISO dovrebbe caricarsi parte anteriore a datazione breach di presente genere potrebbero circa essere: e una trasgressione delle nostre policy? L’immagine aziendale e a repentaglio? Le relazioni per rso nostri acquirenti / partner / investitori possono avere luogo a repentaglio (oh se che uno ha assuefatto le stesse credenziali di Ashley Madison sopra un lui sistema)? Possiamo subire conseguenze legali? Il nostro HR ha svolto le verifiche del evento? Le nostre contromisure riguardo per potenziali frodi, attacchi e estorsioni derivanti dall’attacco sono efficaci (dato che esistono)?
Casomai in cui le risposte non siano soddisfacenti si dovra assoldare il suo Board verso queste tematiche, assicurandosi che tipo di volte nuovi scenari di rischio siano compresi addirittura indirizzati prontamente, da tutta l’organizzazione, singolo per la propria quota di assennatezza di nuovo in assenza di lasciare oltre eta.