Ashley Madison è un sito canadese con una struttura simile ad un social network che mette in contatto persone in cerca di relazioni extraconiugali, avventure segrete con partner diversi da quelli abituali o semplicemente nuovi incontri. Il servizio è a pagamento e per registrarsi occorre fornire diversi dati personali, come ad esempio nome, cognome, data di nascita, nazionalità, altezza, peso, colore degli occhi e dei capelli ed indirizzo email.
Per attivare determinate funzioni del sito, gli ospiti possono acquistare, tramite modalità di pagamento che includono la carta di credito, una serie di pacchetti di adesione a rinnovo automatico con i quali interagire con gli altri utenti. A questo punto, ciascun account attivo diventa collegabile con un conto corrente bancario e quindi ad una identità ben precisa.
Bene, tutti questi dati, insieme a tutti i riferimenti utili per farne una collezione ordinata, sono stati resi pubblici su Internet a fine luglio. C’è quindi la possibilità di conoscere tutti i nomi e i cognomi di chi, per gioco o per reale volontà di tradimento, ha utilizzato – ed è possibile sapere anche in che modo – i servizi del sito Ashley Madison.
La violazione, che ha fatto dimettere il CEO Noel Biderman, è stata rivendicata da un gruppo di hacker che si fa chiamare “Impact Team“. Il movente? Il sito, secondo i responsabili dell’attacco informatico, non aveva un numero bilanciato di “utenti donna” attivi rispetto a quello degli utenti maschili.
Tralasciando gli aspetti legali, le terribili conseguenze – due uomini americani e un canadese si sono suicidati per l’imbarazzo di dover spiegare la presenza dei loro nomi nell’elenco ai propri partner – e l’aspetto grottesco della vicenda, si possono sicuramente trarre degli insegnamenti che riguardano la gestione della sicurezza dei dati su Internet, ma anche – e purtroppo – il buonsenso.
Prima di tutto, il “Premio Sicurezza Fidata” che campeggia in home page sul sito Ashley Madison, così come l’icona del lucchetto “SSL Sito Sicuro” dimostrano che gli standard di sicurezza non sono affatto sufficienti per far dormire sonni tranquilli a chi consegna nelle mani altrui informazioni così delicate e personali.
Il fatto che circa 15.000 indirizzi di posta elettronica utilizzati per la registrazione abbiano desinenza “.gov” o “.mil”, la dice lunga sulla disinvoltura adottata dagli utenti medi nell’utilizzo di strumenti informatici messi a disposizione all’interno della propria realtà lavorativa, per scopi personali.
Le password non erano memorizzate in chiaro, ma tramite il sistema “bcrypt”. Anche questa protezione sembra però avere i giorni contati. Molti dei dirigenti di Ashley Madison avevano un account all’interno del sito e utilizzavano i servizi che loro stessi erogavano. Ed erano i primi a violare le più basilari regole di gestione della sicurezza degli altrui e dei propri dati. Nei loro archivi erano presenti gli storici di ben sette anni di transazioni di carte di credito e le password di altri sistemi di pagamento come PayPal, risultavano avere i tipici connotati di scarsa affidabilità: parole corte, ripetute e facili da intuire.
Per non parlare di chi ha addirittura utilizzato il servizio di messaggistica di Facebook, che collega inequivocabilemente l’identità della persona all’account su Ashley Madison, per registrarsi sul sito.
C’è una operazione che, ora, molti utenti occasionali del sito di incontri stanno facendo senza accorgersi di rischiare di peggiorare la situazione: la ricerca del proprio nome, account, email, all’interno dei diversi siti che sono spuntati fuori come funghi, per vedere se faccia parte di quelli diffusi su Internet. Semplice e veloce come fare una ricerca su Google, senza dover andare a scaricare l’intera mole di dati, ma il rischio è che questi database possano raccogliere e svelare proprio quelle informazioni riservate che si teme siano state diffuse, ma che ancora non lo sono o che attendono una semplice conferma…
Uno di questi strumenti, ad esempio, invia email a persone il cui indirizzo sia stato cercato da qualcuno all’interno del motore di ricerca per poi offrire consulenze su come agire o su come avere maggiori informazioni relative alla propria presunta presenza nell’elenco.
Morale della favola: su Internet, nonostante la cosiddetta “era del cloud“, affidare a terzi sconosciuti i propri dati – più o meno compromettenti – non garantisce che la cura che ne possano avere gli algoritmi e le mani esperte sia maggiore di quella che ne avrebbe il legittimo proprietario. Distribuire questi dati online per comodità rappresenta poi un notevole aumento del fattore di rischio.
