Fact checking

Gli hacker pubblicano i dati di Ashley Madison

Tempo scaduto, così hanno scritto gli hacker che poco meno di un mese fa avevano “bucato” il sito di incontri per adulti Ashley Madison di proprietà della società Avid Life Media hanno pubblicato i dati rubati, che comprendono indirizzi email, password e carte di credito degli utenti del famoso sito per mariti fedifraghi. Impact Team – questo il nome del gruppo di hacker – aveva dato trenta giorni di tempo a Avid Life Media, accusata di aver truffato gli utenti promettendo una riservatezza che non era in grado di garantire.
ashley madison impact team -1
TIME IS UP!
Ora la società proprietaria del sito, ma soprattutto i circa 37 milioni di utenti i cui dati sono stati trafugati, corrono il rischio di essere definitivamente sputtanati. Impact Team ha infatti messo a disposizione un comodo e pratico torrent per consentire a tutti di scaricare il dump di Ashley Madison. Si tratta di un archivio di 9.7 gigabytes che contiene gli indirizzi email a cui sono associati gli account individuali ma anche informazioni più personali indirizzi, password (il sito non aveva un sistema di crittografia delle password) tipo di relazione ricercata tramite il sito e durata delle connessioni ad Ashley Madison per ciascun account. Sicuramente non si troveranno nomi e cognomi degli utenti, ai quali peraltro nessuno vietava di fornire informazioni false o solo parzialmente vere, ma per una moglie attenta e scrupolosa sicuramente non sarà un problema riuscire a riconoscere l’eventuale profilo della sua dolce metà. La cosa divertente, come fa notare l’utente Twitter T0x0 è che tra le mail usate per la registrazione sembrano esserci numerosi account di posta elettronica che fanno riferimento all’esercito e alle istituzioni militare USA. Ancora una volta questo non è molto indicativo perché un utente potrebbe aver usato anche l’indirizzo email “nextquotidiano@gmail.com” senza esserne effettivamente il detentore perché il sito non utilizzava sistemi di verifica dell’account email, come fa ad esempio Facebook al momento della registrazione (ovviamente non stiamo insinuando nulla sulle buone pratiche della Redazione di Next).

Il messaggio lasciato dagli hacker di Impact Team (fonte: https://krebsonsecurity.com/2015/07/online-cheating-site-ashleymadison-hacked/)
Il messaggio lasciato dagli hacker di Impact Team (fonte: https://krebsonsecurity.com/2015/07/online-cheating-site-ashleymadison-hacked/)

MA DAVVERO SI TRATTA DEL DUMP DI ASHLEY MADISON?
La domanda è legittima, spesso infatti accade che le minacce di pubblicazione dei dati rubati non vengano portate a termine. E quando accade in alcuni casi non sono gli hacker “originali” a farlo ma un altro gruppo che mette online dati fasulli per farsi pubblicità; nelle scorse settimane infatti erano circolati diversi “archivi” di dati sottratti dal sito che però si erano rivelati falsi. Inizialmente alcuni siti hanno riportato la notizia dicendo che questo dump non era genuino. Krebs On Security, che aveva parlato per primo di notizia falsa ed era stato uno dei pochi a mettere in dubbio la legittimità del dump è però tornato sui suoi passi dopo aver fatto alcune verifiche:

Update, 11:52 p.m. ET: I’ve now spoken with three vouched sources who all have reported finding their information and last four digits of their credit card numbers in the leaked database. Also, it occurs to me that it’s been almost exactly 30 days since the original hack. Finally, all of the accounts created at Bugmenot.com for Ashleymadison.com prior to the original breach appear to be in the leaked data set as well. I’m sure there are millions of AshleyMadison users who wish it weren’t so, but there is every indication this dump is the real deal.

Questa notizia smentisce l’affermazione fatta da Raja Bhatia, il direttore dell’ufficio tecnico del sito che, incalzato da Krebs on Security, aveva negato categoricamente che la società avesse in mano i dati delle carte di credito degli utenti:

There’s definitely not credit card information, because we don’t store that, We use transaction IDs, just like every other PCI compliant merchant processor. If there is full credit card data in a dump, it’s not from us, because we don’t even have that. When someone completes a payment, what happens is from our payment processor, we get a transaction ID back. That’s the only piece of information linking to a customer or consumer of ours. If someone is releasing credit card data, that’s not from us. We don’t have that in our databases or our own systems.

E dai dati delle carte di credito sì che sarà possibile risalire ai veri nomi dei titolari degli account su Ashley Madison. Ma la cosa davvero divertente è un’altra (e su Next l’avevamo anticipato) ovvero a quanto pare il 90-95% degli utenti di Ashley Madison è di sesso maschile. Sono gli stessi hacker di Impact Factor a dirlo nel loro comunicato:

Find someone you know in here? Keep in mind the site is a scam with thousands of fake female profiles. See ashley madison fake profile lawsuit; 90-95% of actual users are male. Chances are your man signed up on the world’s biggest affair site, but never had one

Insomma il sito, come era prevedibile, era pieno zeppo di uomini in cerca di una relazione extra-coniugale che probabilmente non sono mai riusciti a trovare una donna (non che questo cambi molto le cose). Peccato che Ashley Madison promettesse due cose: discrezione e la certezza di trovare la donna adatta alle proprie “esigenze”. Da oggi non solo gli hacker penseranno che si trattava di una truffa. Nel frattempo la società ha deciso di fare la voce grossa rispondere dicendo che l’hacking non è stato un atto di hacktivismo ma una vera e propria azione criminale che mette a rischio la “libertà di tutti i cittadini del mondo”. LOL.

This event is not an act of hacktivism, it is an act of criminality. It is an illegal action against the individual members of AshleyMadison.com, as well as any freethinking people who choose to engage in fully lawful online activities. The criminal, or criminals, involved in this act have appointed themselves as the moral judge, juror, and executioner, seeing fit to impose a personal notion of virtue on all of society. We will not sit idly by and allow these thieves to force their personal ideology on citizens around the world.