Paolo Arcagni, Systems Engineer Manager Italy&Malta di F5 Networks, osserva come il caso Ashley Madison abbia rivelato il nuovo lato oscuro del cyber-hacking.
Alla fine di luglio, Avid Life Media (ALM), proprietaria del sito di dating online Ashley Madison, ha confermato di essere stata vittima di una massiccia violazione, che aveva potenzialmente esposto i dati personali e l’identità di milioni di utenti di Ashley Madison.
Un mese dopo i timori dell’azienda (per non parlare di quelli degli utenti!) sono stati confermati, quando un gruppo di hacker che si è identificato come Impact Team, presumibilmente responsabile del furto, ha pubblicato i nomi, indirizzi, numeri di telefono e i dettagli delle transazioni effettuate con le carte di credito da circa 32 milioni di clienti. L’informazione è stata pubblicata sul “Dark Web” – un angolo di semi-anonimato di Internet accessibile solo con uno speciale browser Tor e una rete di onion router-.
Naturalmente, le istruzioni su come accedere ai dati sono poi apparse su molti giornali, insieme a una vasta serie di storielle personali pubblicate dai partner che avevano trovato i dettagli delle proprie metà. Molto risalto hanno avuto anche le accuse che il furto delle informazioni sia stato compiuto con la complicità di qualcuno all’interno dell’azienda e gli infelici casi di cronaca che hanno comportato una riflessione sociale più profonda su come e perché molte persone effettivamente utilizzavano il sito.
Ragionando dal punto di vista della sicurezza informatica, però, Ashley Madison rappresenta a oggi la testimonianza più rilevante di una nuova fase maggiormente oscura negli attacchi informatici. Piuttosto che limitarsi a causare disagi e imbarazzo o farsi un po’ di auto-pubblicità, i cyber criminali si sono oggi avviati pienamente verso attività di hacking a scopo di estorsione. Ai primi di luglio, l’azienda di streaming video Plex è stata violata da malintenzionati che hanno tentato di estorcere denaro direttamente dal servizio. Un mese prima, le istituzioni Bank of China e Bank of East Asia sono state entrambe vittime di un attacco DDoS, causato da hacker che le ha minacciate di estendere ulteriormente la portata dell’attacco se non avessero immediatamente pagato una cifra consistente in bitcoin.
Impact Team ha dichiarato di aver condotto una sorta di crociata morale contro l’azienda a cui faceva capo Ashley Madison. Secondo gli hacker, infatti, ALM nel 2014 aveva guadagnato 1,7 milioni di Dollari di fatturato grazie alle entrate legate all’eliminazione completa dell’utente, un servizio che consente agli iscritti di rimuovere tutto lo storico dell’utilizzo del sito e i dati personali identificabili a un costo una tantum di 19 Dollari. Impact Team ha rivendicato e dimostrato con l’attacco che in realtà tutto questo non era vero e che i dettagli relativi ai pagamenti effettuati dagli utenti rimanevano accessibili.
Sinceramente, ritengo sia molto più plausibile che la ragione di quest’attacco sia legata alla natura altamente sensibile delle informazioni che sono state rubate e soprattutto al valore economico che potrebbero avere. Immaginate se le 32 milioni di persone i cui dati sono stati rivelati sul Deep Web fossero disposte a pagare tutte 100 dollari a testa per la loro rimozione. Senza fare troppi calcoli, parliamo di una tangente complessiva che ammonterebbe a 3,2 miliardi di dollari! A questo punto è chiaro quale sia la portata di una violazione come quella rappresentata da Ashley Madison e i motivi nascosti di quest’attacco.
Cosa comporta tutto questo per le aziende? Molto semplicemente, la necessità di fare sul serio quando si parla di sicurezza informatica – e farlo in fretta! Indipendentemente dalle opinioni personali sul servizio offerto da Ashley Madison, questo caso è e resterà un esempio importante delle sfide pervasive che le aziende devono affrontare per proteggere i dati dei clienti che le pagano, con conseguenze implicite anche dal punto di vista dei guadagni futuri.
Molte aziende, semplicemente, non stanno trasformando le proprie policy di protezione abbastanza rapidamente per affrontare l’evoluzione delle minacce alla sicurezza. Senza capire che, in realtà, se non sono ancora state prese di mira è solo perché hanno avuto fortuna!
Se le organizzazioni non agiscono ora, gli hacker continueranno a trovare nuovi modi per compromettere i loro sistemi e rubare i dati.
È possibile essere un passo avanti agli hacker? Purtroppo non esiste una risposta definitiva ai problemi di sicurezza informatica; l’unico approccio possibile per le organizzazioni è iniziare a prestare attenzione al proprio interno a quello che si deve cercare di proteggere e ai target maggiormente interessanti, che un hacker potrebbe voler rubare o compromettere.
Mettendo da parte ogni discussione morale intorno al caso Ashley Madison, bisogna concentrarsi sul fatto che gli hacker stanno colpendo sempre più le aziende, selezionando i target migliori, in violazione della libertà personale o del diritto all’anonimato nei processi informatici. Per evitare che questi attacchi siano sempre più all’ordine del giorno, è necessario che il mondo della sicurezza e le aziende di tutti i settori promuovano una maggiore collaborazione e lavorino insieme duramente per riuscire a essere un passo avanti rispetto agli hacker.