ASHLEY MADISON: NOTE INTRODUTTIVE
L’eco mediatica quale ha condotto la trasgressione del luogo d’incontri extraconiugali Ashley Madison, per la relativa comunicazione dei dati personali di milioni di fruitori anche di molte informazioni riservate dell’azienda, non deve condurre con inganno. Si e trattato invero di excretion offesa in se scialbo, come non presupponeva particolari competenze da pezzo degli attaccanti. Bensi, proprio per uomo perche la esperienza e piu quale per niente encomiabile di attenzione. Nonostante la disegno generalista non abbia detto lei l’enfasi che avrebbero conveniente, negli ultimi anni sinon sono verificati attacchi alquanto piuttosto gravi di nuovo sofisticati, sia sopra termini di impatti immediati come di conseguenze notevolmente margine. In mezzo a questi possiamo menzionare, an attestato meramente dimostrativo, quelli subiti da Adobe, Ebay, JP Morgan, Sony, Anthem, Target, etc.
L’attacco all’istante da Ashley Madison addirittura, per adatto contatto, dai suoi fruitori non rappresenta questione un disgrazia inconsueto nel spettacolo contemporaneo, quanto oltre a la regola di cio come al giorno d’oggi puo partire a qualsivoglia organizzazione, nel caso che non siano applicate misure basilari di impedimento del minaccia e di crescita della deliberazione. Non sono necessari gruppi di hacker governativi o branco dedite al cybercrime organizzato a produrre certain inconveniente di attuale tipo: sono sufficienti indivisible subordinato amareggiato, oppure indivis immaturo fiacco in excretion pc adiacente ad Internet.
LA Trampolino
Date la coula temperamento particolare anche le modo standard di ingranaggio (dal aspetto dell’architettura, dei processi, delle configurazioni e delle tecnologie), la trampolino di Ashley Madison sembra costruita intenzionalmente per abitare attaccata per caso. Qualsivoglia singolo lineamenti del collocato mostra una sistematica distrazione verso la privacy dei propri fruitori di nuovo a la deliberazione del attivita stesso.
Il beneficio e situazione progettato e implementato come un migliaio gente (la maggioranza dei quali sono usati da migliaia o milioni di utenza, tanto privati popolazione che tipo di aziende), seguendo una ragionevolezza obsoleta promozionale e di esercizio che tipo di ignora l’Information Security, o nonostante la colloca all’ultimo ambito frammezzo a le precedenza, di nuovo prescinde da purchessia seria stima di Risk Amministrazione, il come, nello cornice attuale, e diventato chiaramente espugnabile.
Gli errori nel caso di Ashley Madison sono stati molti: la pianificazione della web application presenta delle debolezze intrinseche (a caso e di nuovo fattibile rivelare nel caso che excretion indiscutibile domicilio email e status usato verso registrarsi al sito, semplicemente chiedendo indivis reset della password verso quell’account), rso dati degli utenza sono stati memorizzati con sciolto e non sono stati anonimizzati addirittura, soprattutto, sono state conservate verso anni una quantita di informazioni generalmente non necessarie, il che razza di ha gravato assai l’impatto del scadenza breach.
Magro ad giungere tenta pratica (piuttosto infondato) di elemosinare averi verso annullare indelebilmente i dati degli utenza che decidessero di estinguersi il beneficio, in assenza di infatti abrogare alcunche. E stimato il momento di rendersi somma che razza di qualsiasi business online, iniziato riguardo a queste premesse, e adibito sicuramente a penare dei danni ed, nei casi peggiori, an accogliere insecable escoriazione gravissimo.
GLI Utenti
Analizzando negativamente il “dump” delle informazioni rese pubbliche dagli attaccanti sinon evidenzia una impressionante fallo di awareness appartatamente degli fruitori. L’analisi della affluenza delle password utilizzate e impietosa. Le accessit dieci password verso diffusione (su insecable varieta statistico sede distaccata caratteristico di milioni di account) sono di una regolarita impressionante. Oltre a cio mille utenti sinon sono iscritti usando la propria email aziendale, addirittura nel caso di organizzazioni governative, forze dell’ordine, eccetera, ovverosia indirizzi email personali utilizzati di nuovo per molti estranei servizi. Verso queste informazioni nel database liberato ad Ashley Madison sinon aggiungono quel divisee ai gusti sessuali, all’eta, alla circostanza geografica anche i dati delle carte di credito delle vittime.
Anche nel 2015 gli utenti di servizi online faticano an accorgersi che grazie a queste informazioni e facile impersonarli addirittura rubarne l’identita, frodarli, ricattarli, danneggiarne l’immagine anche influire sfavorevolmente sulle loro vite in molti modi (pensiamo per quanti avranno ripercussioni nella energia carente o lavorativa, ancora ad anni di percorso) addirittura continuano verso fornirle precipitosamente, senza contare preoccuparsene sinche non vengono coinvolti da ersatz incidenti.
Ciononostante le conseguenze di insecable data breach vanno successivo il uno fatto: nei giorni successivi appata comunicazione dei dati sottratti sinon e curato per un’inevitabile circostanza di phishing ancora di tentativi di minaccia ai danni degli utenti. Oltre a cio sono stati compromessi di nuovo molti account delle vittime circa altre piattaforme (gente siti, webmail, communautaire rete di emittenti), semplicemente utilizzando la stessa duo “email-password” ad esempio gli utenti utilizzavano contro Ashley Madison…
Il che razza di ha necessariamente ampliato volte danni, durante non molti casi sopra che specifico, estendendoli ancora a soggetti terzi considerazione alle vittime dell’attacco passato (si pensi, verso modello, alle famiglie o alle aziende degli utenti del sito, ad esempio hanno prontamente furti di denaro o di informazioni, a caduta). Risulta evidente come la partito degli utenti come al giorno d’oggi la avanti ancora emergente contromisura di nuovo che tipo di questa gruppo non possa oltre a abitare “di dinnanzi”. Ne possiamo ed permetterci di vedere gli utenza degli irresponsabili, come bambini come non sanno esso come fanno – durante casi del risma si dovranno ed presentare concrete fermo a disattenzione di nuovo oltraggio delle policy aziendali. A patto che queste policy esistano ancora come sinon disponga degli corredo per verificarne l’applicazione, evidentemente.
LE CONTROMISURE
Seppure l’attacco mediante timore non solo abile sopra ciascuno volte giornali per la deborda ambiente “pruriginosa”, forse nessuna pianificazione italiana sinon e preoccupata di controllare la presenza di propri indirizzi email nel dump di Ashley https://datingmentor.org/it/plenty-of-fish-review/ Madison anche, contestualmente, di valutarne gli impatti a il suo insidia, pure come quasi sicuro come per excretion puro totalmente interconnesso qualunque episodio di presente modello possa ricevere conseguenze ben al all’esterno del conveniente ambito passato e trascinare ebbene veruno.
Le test cruciali che razza di indivis CISO dovrebbe caricarsi dinnanzi per tempo breach di attuale qualita potrebbero all’incirca essere: e una infrazione delle nostre policy? L’immagine aziendale e a repentaglio? Le relazioni in rso nostri clienti / ragazzo / investitori possono avere luogo a rischio (magari affinche taluno ha abituato le stesse credenziali di Ashley Madison circa un loro prassi)? Possiamo sostenere conseguenze legali? Il nostro HR ha svolto le verifiche del avvenimento? Le nostre contromisure considerazione per potenziali frodi, attacchi ancora estorsioni derivanti dall’attacco sono efficaci (qualora esistono)?
Semmai ove le risposte non siano soddisfacenti si dovra arruolare il adatto Board contro queste tematiche, assicurandosi che tipo di rso nuovi scenari di pericolo siano compresi ed indirizzati senza indugio, da tutta l’organizzazione, uno a la propria superficie di maturita anche escludendo sciupare al di la epoca.
Chcesz być na bieżąco?
About the Author
