20 agosto 2015 15:46

Ieri un gruppo di hacker ha diffuso i dati personali di 33 milioni di utenti di Ashley Madison, un sito di incontri per persone sposate. Sono stati pubblicati in rete indirizzi email, numeri di telefono e di carte di credito.

Le informazioni sono state pubblicate sul dark web, la parte di internet che non viene rilevata dai motori di ricerca e si può navigare solo usando software particolari, come Tor. Gli hacker avevano attaccato Ashley Madison il mese scorso e avevano minacciato di diffondere le informazioni se il sito non veniva chiuso.

Cos’è Ashley Madison?
È un sito online di incontri per persone sposate che vogliono avere un’avventura extraconiugale. Il suo slogan è “La vita è breve. Concediti un’avventura”. Il nome del sito è stato creato usando due nomi di donna, Ashley e Madison. È di proprietà dell’azienda canadese Avid Life Media (Alm), che possiede altri due siti d’incontri, Cougar Life e Established Men. Ashley Madison dichiara di avere più di 37 milioni di utenti registrati in tutto il mondo. L’iscrizione al sito è gratuita, ma per avere accesso a tutte le funzioni bisogna fare un abbonamento. Se si vuole cancellare il proprio profilo, bisogna pagare 19 dollari.

Che dati sono stati pubblicati?
Gli hacker hanno diffuso nomi, indirizzi, numeri di telefono, password e 36 milioni di indirizzi email. Ashley Madison non ha confermato che le informazioni siano quelle dei suoi utenti, ma secondo gli esperti di sicurezza sono autentiche. La rivista specializzata Cso ha scritto che tra gli indirizzi di posta elettronica pubblicati ce ne sono 15mila appartenenti a funzionari del governo e dell’esercito. I file sono stati messi in unico torrent, accessibile solo con il software Tor.

Chi è stato e perché?
Gli hacker che hanno rivendicato l’attacco informatico si fanno chiamare Impact team. Il gruppo dichiara di aver colpito Ashley Madison perché inganna i suoi utenti: sul sito ci sarebbero molti profili falsi di donne, creati per attirare gli uomini (che sono il 90 per cento degli utenti del sito, secondo Impact team). Inoltre la possibilità di cancellare la propria iscrizione al sito, e quindi i propri dati sensibili, sarebbe solo fittizia.

Sono stati diffusi numeri di carte di credito?
Per Thorsheim, un esperto norvegese di sicurezza, ha dichiarato alla Bbc che sono state diffuse in forma non crittografata solo le prime quattro cifre dei numeri delle carte di credito degli utenti (non le date di scadenza né il codice di sicurezza in tre cifre scritto sul retro). Ma tra i dati trafugati ci sarebbe l’archivio delle transazioni fatte dagli utenti fino al 2009. La Avid, l’azienda che gestisce Ashley Madison, ha confermato che non archivia i dati delle carte di credito sui suoi server.

Gli utenti devono preoccuparsi per il furto delle password?
Le password sono protette dalla crittografia. In teoria per gli hacker è possibile risalire alla password, attraverso la cosiddetta ingegneria inversa, ma secondo l’esperto britannico Alan Woodward sarebbe un processo molto lungo e laborioso. Grazie agli indirizzi email i criminali informatici potrebbero aver accesso agli altri account degli utenti. È quindi una buona idea, per chi lo usa, cambiare le password del proprio account su Ashley Madison.

Perché le informazioni sono state pubblicate sul dark web?
Secondo l’esperto di sicurezza Graham Cluley, gli hacker sanno che Ashley Madison può far rimuovere dei dati rubati da qualsiasi sito pubblico. “Se non possono identificare il sito che ospita i contenuti, non possono farli chiudere”, spiega Cluley.

Quali altre conseguenze potrebbero esserci?
C’è il rischio che i dati vadano in mano ai truffatori. Una lista così lunga di email potrebbe probabilmente essere usata per attacchi di phishing. Inoltre circa 1.200 profili diffusi appartenevano a persone che vivono in Arabia Saudita, dove l’adulterio è punito con la pena di morte.