ASHLEY MADISON: NOTE INTRODUTTIVE
L’eco mediatica quale ha pilotato la reato del situazione d’incontri extraconiugali Ashley Madison, in la relativa dichiarazione dei dati personali di milioni di fruitori e di molte informazioni riservate dell’azienda, non deve condurre con corruzione. Si e toccato in realta di interracialpeoplemeet com certain stimolo naturalmente convenzionale, ad esempio non presupponeva particolari competenze da parte degli attaccanti. Ciononostante, adatto a individuo fine la esperienza e ancora come in nessun caso stimato di cautela. Benche la stampa generalista non abbia concesso lei l’enfasi quale avrebbero opportuno, negli ultimi anni si sono verificati attacchi alquanto piuttosto gravi anche sofisticati, non solo con termini di impatti immediati ad esempio di conseguenze a lungo confine. Frammezzo a questi possiamo citare, a titolo meramente dimostrativo, quelli subiti da Adobe, Ebay, JP Morgan, Sony, Anthem, Target, etc.
L’attacco improvvisamente da Ashley Madison di nuovo, a proprio corso, dai suoi utenti non rappresenta luogo certain sinistro raro nel aspetto odierno, quanto oltre a la insegnamento di cio quale oggi puo andare a qualsivoglia pianificazione, nel caso che non siano applicate misure basilari di imbrigliamento del insidia addirittura di accrescimento della deliberazione. Non sono necessari gruppi di hacker governativi ovverosia gruppo dedite al cybercrime organico per provocare certain sinistro di questo varieta: sono sufficienti excretion subordinato deluso, o indivis tenero esausto in indivis computer laterale ad Internet.
LA Trampolino
Date la sua temperamento corretto e le maniera standard di dispositivo (dal punto di vista dell’architettura, dei processi, delle configurazioni addirittura delle tecnologie), la programma di Ashley Madison sembra costruita apposta verso succedere attaccata in successo. Purchessia singolo lato del situazione fiera una sistematica negligenza a la privacy dei propri utenti anche verso la decisione del servizio proprio.
Il incarico e condizione programmato anche implementato che un migliaio gente (la prevalenza dei quali sono usati da migliaia o milioni di fruitori, cosi privati gente come aziende), seguendo una rigorosita obsoleta promozionale ed di divertimento come ignora l’Information Security, o nonostante la colloca all’ultimo zona fra le precedenza, ed prescinde da ogni seria adempimento di Risk Management, il che razza di, nello contesto attuale, e diventato apertamente insopportabile.
Gli errori nel caso di Ashley Madison sono stati molti: la programmazione della web application presenta delle debolezze intrinseche (a caso e e possibile scoperchiare se certain indiscutibile residenza email e situazione abituato per registrarsi al posto, apertamente chiedendo indivisible reset della password verso quell’account), rso dati degli fruitori sono stati memorizzati durante modesto nemmeno sono stati anonimizzati anche, particolarmente, sono state conservate verso anni una parecchio di informazioni generalmente non necessarie, il che tipo di ha ingrassato parecchio l’impatto del giorno breach.
Furbo ad arrivare affriola attivita (oltre a gratuito) di chiedere contante verso eliminare permanentemente volte dati degli utenti che tipo di decidessero di estinguersi il servizio, senza contare difatti abrogare alcunche. E affermato il circostanza di rendersi competenza ad esempio qualunque business online, approvato verso queste premesse, e portato veramente an angosciarsi dei danni di nuovo, nei casi peggiori, a ricevere certain colpo insanabile.
GLI Fruitori
Analizzando negativamente il “dump” delle informazioni rese pubbliche dagli attaccanti si evidenzia una conturbante mancanza di awareness appartatamente degli utenti. L’analisi della partecipazione delle password utilizzate e impietosa. Le addition dieci password verso dichiarazione (contro certain varieta statistico sede distaccata proprio di milioni di account) sono di una ovvieta impressionante. Inoltre moltissimi fruitori sinon sono iscritti usando la propria email aziendale, ancora eventualmente di organizzazioni governative, forze dell’ordine, eccetera, ovverosia indirizzi email personali utilizzati e a molti altri servizi. A queste informazioni nel database dedotto ad Ashley Madison sinon aggiungono laquelle divisee ai gusti sessuali, all’eta, aborda dislocazione geografica anche rso dati delle carte di credito delle vittime.
Addirittura nel 2015 gli fruitori di servizi online faticano a capire ad esempio grazie a queste informazioni e fattibile impersonarli ed rubarne l’identita, frodarli, ricattarli, danneggiarne l’immagine ed influenzare sfavorevolmente sulle se vite con molti modi (pensiamo a quanti avranno ripercussioni nella vita personale o lavorativa, di nuovo ad anni di percorso) anche continuano verso fornirle lievemente, privato di preoccuparsene fino al momento che non vengono coinvolti da ersatz incidenti.
Ciononostante le conseguenze di indivisible tempo breach vanno posteriore il unito vicenda: nei giorni successivi affriola diffusione dei dati sottratti sinon e favorito a un’inevitabile ondata di phishing anche di tentativi di costrizione ai danni degli fruitori. Inoltre sono stati compromessi ed molti account delle vittime su altre piattaforme (prossimo siti, webmail, social rete informatica), facilmente utilizzando la stessa duetto “email-password” che gli utenti utilizzavano verso Ashley Madison…
Il come ha fatalmente amplificato volte danni, con un qualunque casi in come tipico, estendendoli ed per soggetti terzi adempimento alle vittime dell’attacco antecedente (sinon pensi, verso dimostrazione, alle famiglie ovvero alle aziende degli fruitori del sito, che razza di hanno subito furti di denaro ovvero di informazioni, a cascata). Risulta convinto ad esempio la associazione degli fruitori cosi attualmente la avanti anche prevalente contromisura addirittura ad esempio questa associazione non possa oltre a abitare “di davanti”. Neanche possiamo e permetterci di considerare gli fruitori degli irresponsabili, come bambini come non sanno esso come fanno – sopra casi del genere si dovranno ed anticipare concrete embargo a svista ancora reato delle policy aziendali. Sempre che queste policy esistano e quale sinon disponga degli equipaggiamento per verificarne l’applicazione, logicamente.
LE CONTROMISURE
Pure l’attacco con questione cosi abile sopra qualsivoglia rso giornali per la degoutta natura “pruriginosa”, incertezza nessuna regolamentazione italiana si e preoccupata di esaminare la adesione di propri indirizzi email nel dump di Ashley Madison anche, contestualmente, di valutarne gli impatti verso il proprio allarme, nonostante tanto ormai certo quale per indivis mondo interamente interconnesso purchessia avvenimento di questo modello possa ricevere conseguenze ben al esternamente del proprio buco iniziale anche implicare in quel momento chiunque.
Le quiz cruciali che un CISO dovrebbe caricarsi parte anteriore per tempo breach di corrente risma potrebbero circa essere: e una trasgressione delle nostre policy? L’immagine aziendale e a repentaglio? Le relazioni sopra i nostri clienti / ragazzo / investitori possono risiedere a rischio (volesse il cielo che cosicche personaggio ha assuefatto le stesse credenziali di Ashley Madison contro un loro modo)? Possiamo assoggettarsi conseguenze legali? Il nostro HR ha svolto le verifiche del fatto? Le nostre contromisure adempimento verso potenziali frodi, attacchi ed estorsioni derivanti dall’attacco sono efficaci (dato che esistono)?
Nel caso in cui le risposte non siano soddisfacenti sinon dovra cominciare il proprio Board sopra queste tematiche, assicurandosi quale volte nuovi scenari di allarme siano compresi anche indirizzati prontamente, da tutta l’organizzazione, uno a la propria livello di sviluppo anche senza contare consumare ulteriore tempo.
0 Responses
Stay in touch with the conversation, subscribe to the RSS feed for comments on this post.
You must be logged in to post a comment.