Pubblicati 10 GB di dati personali del sito di tradimenti Ashley Madison

August 18, 2015 23:08, par Il Disinformatico

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle gentili donazioni di “robird*”, “danibsec*” e “andreac*”. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Lo so che tutti quelli che decidono di essere infedeli al proprio partner credono di essere troppo furbi per essere mai scoperti, ma ci vuole un tipo di furbizia davvero speciale per fare le corna rivolgendosi a un sito Web al quale affidare la propria carta di credito e quindi la propria vera identità. Cosa mai potrebbe andare storto?

Devono averlo pensato in molti fra i 37 milioni di diversamente furbi che si sono affidati al sito Ashley Madison, un servizio “leader mondiale negli appuntamenti per persone sposate per incontri discreti” (come recita il suo banner, evidenziando il “discreti”). E infatti puntualmente il sito è stato violato e i dati degli utenti sono stati trafugati, con un ultimatum insolito alla Avid Life Media, proprietaria di Ashley Madison: chiudete il sito (e il suo consociato Established Men, dedicato a “collegare ragazze attraenti a benefattori generosi e di successo”) o pubblicheremo tutti i dati dei vostri clienti. Lo si è saputo il 21 luglio scorso.

Ashley Madison ed Established Men non sono stati chiusi, e ora, a quanto pare, i dati trafugati sono stati pubblicati su Internet e sono accessibili tramite Tor in siti come questo: circa 10 gigabyte di mail, profili di membri, transazioni di carte di credito e altri dati estremamente sensibili, compresi organigrammi aziendali e altri documenti.

I nomi degli utenti possono ovviamente essere falsi, per cui l'esistenza di un profilo intestato a una certa persona non significa necessariamente che quella persona abbia davvero creato un account presso il sito (anche perché Ashley Madison non verificava gli indirizzi di mail degli utenti); ma se i dati includono anche le transazioni delle carte di credito, l'identità è difficile da negare e per gli avvocati divorzisti è festa grande. Anche chi vive di ricatti sarà particolarmente felice della stupidità degli utenti di questi siti. Se poi, come capita spesso, gli utenti hanno adoperato la stessa password su Ashley Madison e altrove, alla festa si aggiungeranno anche i ladri di account.

Gli intrusi, che si fanno chiamare Impact Team, hanno motivato la propria azione dicendo che Ashley Madison è un sito fraudolento: “una truffa con migliaia di falsi profili femminili... il 90-95% degli utenti reali è costituita da maschi”, scrivono, invitando gli utenti a fare causa alla Avid Life Media per averli ingannati.

C'è di più: Ashley Madison si faceva pagare 19 dollari dagli utenti per il privilegio di disiscriversi e di cancellare i loro dati (che includono informazioni molto personali come i dettagli delle loro preferenze sessuali), e già questo è discutibile, ma i file trafugati indicano che in realtà i dati non venivano affatto eliminati.

Divorzi e ricatti a parte, i dati sono estremamente interessanti come spaccato delle abitudini degli utenti. Per esempio, secondo le prime indagini, ci sarebbero circa 15.000 indirizzi .gov o .mil, il che significherebbe che ci sono utenti così stupidi da usare il proprio indirizzo di mail di lavoro per iscriversi a un sito d'incontri. Le password sono cifrate con bcrypt, ma dubito che resisteranno a lungo.

Morale della storia: su Internet come nella vita reale, non affidate a terzi sconosciuti i vostri segreti. Non ne avranno mai la cura che ne avreste voi. E mettendoli online facilitate immensamente il lavoro a chiunque sia interessato a rubarli. Se li custodite voi, per quanto li custodiate male, per rubarveli devono avercela con voi abbastanza da entrarvi materialmente in casa o in ufficio.


Fonti aggiuntive: The Register, Ars Technica.