Ashley Madison: 37 mln di email scottanti finiscono su Tor

0
2792

La vicenda Ashley Madison ha inizio alla fine di Luglio 2015 quando un gruppo di hacker dal nome Impact Team rivendica avere violato i sistemi di sicurezza del noto sito per adulti.

Il gruppo di hacker dichiara di essere entrato in possesso di circa 37 milioni di dati personali di utenti registrati presso Ashley Madison. Subito dopo avere rivendicato l’attacco, Impact Team minaccia di pubblicare tutti i dati trafugati a meno che Avid Life Media, società che controlla Ashley Madison non decida di sospendere il servizio insieme al sito collegato Established Men.

37 milioni di dati personali rubati ed in mano ad hacker che ne minacciano la pubblicazione sarebbero già un grave problema per la privacy ed una seria sberla a qualunque protocollo di sicurezza, ma c’è di più. Ashley Madison fonda il proprio business sulla promessa di favorire incontri di coppia casuali e spesso anche qualche scappatella dalla moglie o dal marito.

Facile intuire come più di un utente i cui dati personali compaiono fra quelli trafugati stia in questi giorni tentando di fabbricare una buona scusa per la moglie o il marito tradito.

Impact Team, ieri, ha dichiarato tramite un post su Hydraze blog di avere pubblicato su Tor tutti i dati in loro possesso, inclusi email, numeri di telefono, indirizzi di residenza, numeri di telefono e log delle transazioni con carta di credito. Secondo quanto dichiarato, la pubblicazione avviene in risposta alla mancata chiusura di Ashley Madison e degli altri siti ad esso collegati.

Una bella grana per Avid Life Media e soprattutto per quegli utenti che, avendo qualcosa da nascondere, non avrebbero mai voluto che quei dati fossero resi pubblici.
In un file di commento che accompagna quelli contenenti i dati incriminati, si legge

Avid Life Media non ha dismesso Ashley Madison e Established Men. Abbiamo spiegato la frode, l’inganno, e la stupidità di ALM e dei loro membri. Ora ognuno può consultare i loro dati.

Avete trovato qualcuno che conoscete li dentro? Tenete in mente che il sito è una truffa con migliaia di finti profili femminili. Osservate i motivi per cui Ashley Madison usa falsi profili; il 90-95% degli utenti attuali sono maschi. Ci sono possibilità che il vostro uomo si sia registrato al più grande sito di “avventure” al mondo, ma non ne ha mai avuto una. Ci ha soltanto provato. La differenza è importante.

Avete trovato voi stessi fra questi dati? E’ colpa di ALM che vi ha ingannato e mentito. Perseguiteli e chiedete i danni. Poi andate avanti con la vostra vita. Imparate la lezione e fate ammenda. Siete imbarazzati adesso, ma supererete tutto ciò

Un messaggio abbastanza chiaro, coerente con quanto già espresso subito dopo l’attacco hacker, quando Impact Team aveva ben spiegato che le motivazioni che li avevano spinti ad attaccare così violentemente Ashley Madison erano proprio da ricercarsi proprio nei comportamenti di ALM, giudicati poco corretti nei confronti degli utenti.

ALM non ha confermato che i dati pubblicati siano genuini, ma alcuni ricercatori su Twitter si sono esposti giudicandoli come affidabili

La reazione di ALM per ora non entra nel merito delle accuse, ma si limita a dire che è ancora in corso un’indagine per comprendere come sia avvenuto l’attacco

Abbiamo appreso adesso che l’individuo o gli individui responsabili per questo attacco dichiarano di avere rilasciato più dei dati rubati. Stiamo attivamente monitorando e investigando questa situazione per determinare la validità delle informazioni pubblicate online e continueremo ad impiegare un numero significativo di risorse in questo sforzo. Inoltre continueremo a produrre notevoli sforzi per rimuovere ogni informazione illegalmente pubblicata, così come continueremo a mantenere attivo il nostro business

Poche righe più avanti ALM respinge ogni giudizio morale, condannando fermamente l’attacco

Il criminale o i criminali coinvolti in questo attacco si sono assunti il ruolo di giudice morale, giuria e carnefice, tentando di imporre una personale nozione di virtù a tutta la società. Noi non staremo a guardare e non permetteremo a questi ladri di imporre ls loro ideologia ai cittadini di tutto il mondo. Continueremo a cooperare pienamente con le forze dell’ordine per cercare di prendere i colpevoli e consegnarli alle misure di legge più severe

Nel frattempo, abbandonata la questione morale, i ricercatori dibattono su questioni più materiali. La domanda che in molti si pongono è quella relativa alla presenza di numeri di carta di credito fra i dati rubati.

In teoria nessun dato del genere dovrebbe comparire fra quelli pubblicati su Tor, poiché come spesso accade nel caso di pagamenti elettronici, il venditore non immagazina i numeri di carta di credito nel proprio database, ma soltanto gli ID della transazione.

Tuttavia qualcuno sostiene che nei file pubblicati da Impact Team compaiano anche numeri di carta di credito ancora validi

Possono stare invece relativamente tranquilli mogli e mariti le cui email compaiono nell’elenco incriminato. Ashley Madison non verifica le email degli utenti, dunque in teoria chiunque compaia in quell’elenco potrebbe non essere l’autore della registrazione