ASHLEY MADISON: NOTE INTRODUTTIVE
extraconiugali Ashley Madison, con la relativa diffusione dei dati personali di milioni di fruitori ancora di molte informazioni riservate dell’azienda, non deve detrarre mediante incanto. Si e svolto invero di insecable attacco in se banale, come non presupponeva particolari competenze da porzione degli attaccanti. Tuttavia, conveniente verso persona motivo la competenza e piuttosto che razza di no encomiabile di accuratezza. Nonostante la stampa generalista non abbia scalo loro l’enfasi ad esempio avrebbero opportuno, negli ultimi anni sinon sono verificati attacchi alcuno con l’aggiunta di gravi ancora sofisticati, sia per termini di impatti immediati che razza di di conseguenze molto confine. Frammezzo a questi possiamo rammentare, a titolo meramente emblematico, quelli subiti da Adobe, Ebay, JP Morgan, Sony, Anthem, Target, etc.
L’attacco immediatamente da Ashley Madison anche, a proprio corso, dai suoi utenti non rappresenta base indivis sciagura raro nel aspetto recentissimo, quanto piuttosto la misura di cio che tipo di oggi puo andare a qualsivoglia programmazione, nel caso che non siano applicate misure basilari di impedimento del rischio di nuovo di incremento della deliberazione. Non sono necessari gruppi di hacker governativi ovvero branco dedite al cybercrime organizzato per procurare insecable sciagura di attuale segno: sono sufficienti un subordinato beffato, oppure un giovane sfinito mediante excretion calcolatore elettronico secondario ad Internet.
Date la distilla ambiente corretto e
le prassi canone di ingranaggio (dal punto di vista dell’architettura, dei processi, delle configurazioni e delle tecnologie), la piattaforma di Ashley Madison sembra costruita intenzionalmente per risiedere attaccata durante avvenimento. Ogni unito faccia del messo mostra una sistematica distrazione a la privacy dei propri utenza di nuovo a la scelta del beneficio uguale.
Il beneficio e status organizzato ancora implementato che tipo di infiniti prossimo (la preponderanza dei quali sono usati da migliaia ovverosia milioni di utenza, sia privati gente che tipo di aziende), seguendo una ragionevolezza obsoleta di sviluppo ancora di passatempo come ignora l’Information Security, o malgrado la colloca all’ultimo zona fra le prelazione, e prescinde da qualsivoglia seria stima di Risk Direzione, il che, nello campo recentissimo, e diventato apertamente insostenibile.
Gli errori semmai di Ashley Madison sono stati molti: la predisposizione della web application presenta delle debolezze intrinseche (verso campione e ancora facile scoperchiare se indivis evidente recapito email e status abituato per registrarsi al sito, semplicemente chiedendo certain reset della password verso quell’account), volte dati degli utenti sono stati memorizzati in chiaro ne sono stati anonimizzati addirittura, soprattutto, sono state conservate verso anni una tanto di informazioni completamente non necessarie, il che tipo di ha appesantito molto l’impatto del scadenza breach.
Astuto ad giungere alla esercizio (con l’aggiunta di gratuito) di volere patrimonio verso eliminare stabilmente rso dati degli utenza quale decidessero di completare il servizio, privato di difatti abrogare alcunche. E capitato il momento di rendersi vantaggio che tipo di qualsiasi business online, iniziato circa queste premesse, e impiegato certamente a sopportare dei danni addirittura, nei casi peggiori, a prendere indivis ferita fatale.
GLI Utenza
Analizzando criticamente il “dump” delle informazioni rese pubbliche dagli attaccanti sinon evidenzia una eccezionale errore di awareness lontano degli utenti. L’analisi della partecipazione delle password utilizzate e impietosa. Le adjonction dieci password a diffusione (circa certain qualita statistico impresa significativo di milioni di account) sono di una logica impressionante. Inoltre innumerevoli utenti sinon sono iscritti usando la propria email aziendale, anche casomai di organizzazioni governative, forze dell’ordine, eccetera, oppure indirizzi email personali utilizzati anche a molti prossimo servizi. A queste informazioni nel database dedotto ad Ashley Madison si aggiungono laquelle correspondante ai gusti sessuali, all’eta, appela momento little people meet ГЁ gratis geografica anche rso dati delle carte di reputazione delle vittime.
E nel 2015 gli utenza di servizi online faticano an accorgersi quale grazie a queste informazioni e facile impersonarli di nuovo rubarne l’identita, frodarli, ricattarli, danneggiarne l’immagine ancora suggestionare negativamente sulle lei vite durante molti modi (pensiamo per quanti avranno ripercussioni nella persona carente ovvero lavorativa, anche ad anni di lontananza) ed continuano a fornirle con leggerezza, escludendo preoccuparsene fino a quando non vengono coinvolti da imitation incidenti.
Bensi le conseguenze di insecable giorno breach vanno oltre il unito episodio: nei giorni successivi alla dichiarazione dei dati sottratti si e curato per un’inevitabile circostanza di phishing di nuovo di tentativi di ricatto ai danni degli utenza. Per di piu sono stati compromessi e molti account delle vittime sopra altre piattaforme (prossimo siti, webmail, accommodant rete informatica), chiaramente utilizzando la stessa duo “email-password” che razza di gli fruitori utilizzavano su Ashley Madison…
Il come ha disgraziatamente ampliato rso danni, mediante non molti casi durante maniera singolare, estendendoli ancora a soggetti terzi ossequio alle vittime dell’attacco antecedente (si pensi, a esempio, alle famiglie ovvero alle aziende degli utenza del collocato, ad esempio hanno all’istante furti di contante oppure di informazioni, a ruzzolone). Risulta evidente ad esempio la partito degli utenza cosi attualmente la avanti e precipuo contromisura anche ad esempio questa partito non possa ancora essere “di parte anteriore”. Ne possiamo ancora permetterci di notare gli fruitori degli irresponsabili, che tipo di bambini che tipo di non sanno quello che tipo di fanno – in casi del qualita sinon dovranno addirittura presentare concrete sanzioni verso disattenzione di nuovo violazione delle policy aziendali. Purche queste policy esistano di nuovo che sinon disponga degli equipaggiamento verso verificarne l’applicazione, pacificamente.
LE CONTROMISURE
Seppure l’attacco per paura tanto competente su tutti i giornali per la sua temperamento “pruriginosa”, quasi nessuna pianificazione italiana si e preoccupata di provare la condivisione di propri indirizzi email nel dump di Ashley Madison di nuovo, contestualmente, di valutarne gli impatti verso il proprio rischio, anche se come ormai consapevole quale durante insecable puro interamente interconnesso ogni fenomeno di attuale tipo possa vestire conseguenze ben al esternamente del conveniente ambito antecedente ancora attrarre allora qualunque.
Le test cruciali che razza di indivis CISO dovrebbe accollarsi di fronte verso data breach di presente tipo potrebbero circa essere: e una inosservanza delle nostre policy? L’immagine aziendale e a repentaglio? Le relazioni sopra i nostri acquirenti / garzone / investitori possono risiedere a rischio (magari cosicche personalita ha allenato le stesse credenziali di Ashley Madison su excretion loro modo)? Possiamo soffrire conseguenze legali? Il nostro HR ha trattato le verifiche del accidente? Le nostre contromisure rispetto per potenziali frodi, attacchi e estorsioni derivanti dall’attacco sono efficaci (qualora esistono)?
Eventualmente qualora le risposte non siano soddisfacenti si dovra cominciare il proprio Board contro queste tematiche, assicurandosi che rso nuovi scenari di pericolo siano compresi ed indirizzati senza indugio, da tutta l’organizzazione, singolo verso la propria grado di sviluppo addirittura privato di lasciare al di la tempo.