A dimostrazione del fatto che non si dovrebbe confidare nella propagandata sicurezza di un sito di dating che si proclama campione della discrezione offrendo a pagamento la rimozione completa dei dati personali, il gruppo The Impact Team minaccia di rilasciare dati sensibili dei 37 milioni di utenti del sito per adulti adulteri AshleyMadison.com.
Reso noto dall’esperto di sicurezza Brian Krebs, confermato dall’azienda canadese Avid Life Media (ALM), che gestisce il servizio insieme ad altri siti analoghi quali Cougar Life e Established Men, anch’essi apparentemente compromessi, l’attacco si è manifestato con la pubblicazione di 40 MB di dati, che comprendono frammenti di informazioni personali di utenti registrati, informazioni sulla configurazione della rete interna dell’azienda, sui dipendenti e sulla situazione economica.
ALM ha definito l’attacco un atto di “cyberterrorismo”, ha comunicato di aver avviato un’indagine interna e di aver denunciato l’accaduto alle forze dell’ordine: per ora i sospetti si concentrano su persone che abbiano in passato lavorato alla gestione tecnica del sito. Nel frattempo l’azienda ha provveduto a diramare delle richieste basate sul Digital Millennium Copyright Act (DMCA) ai siti su cui è avvenuta la pubblicazione dei dati: la rivendicazione del copyright sui dati pubblicati da terzi si sta rivendo efficace nel limitarne la diffusione, segnala l’azienda.
Le intenzioni di The Impact Team si mostrano però minacciose: si invoca la chiusura dei siti Ashley Madison e Established Men, e se l’azienda non dovesse provvedere il gruppo “rilascerà tutti i record relativi agli utenti, inclusi i profili con tutte le loro segrete fantasie sessuali e le relative transazioni con le rispettive carte di credito, i nomi, gli indirizzi, insieme ai documenti dei dipendenti e le email”.
I dati coinvolti sono scottanti, la reputazione di milioni di persone è a rischio: a differenza dei cracker che nei mesi scorsi hanno violato il sito di incontri AdultFriendFinder cercando un riscatto, i responsabili dell’operazione di cracking del sito di ALM spiegano di essersi mossi per smascherare l’inganno con il quale l’azienda promette ai propri utenti il massimo rispetto della privacy: AshleyMadison.com offre ad esempio un servizio di rimozione definitiva dei dati personali, e lo offre a pagamento. “Per la maggior parte, gli utenti pagano con carta di credito – denuncia il proclama di The Impact Team – i dettagli dei loro acquisti non sono rimossi, a differenza di quanto promesso, e comprendono nomi e indirizzi, che sono ovviamente le informazioni più importanti che gli utenti vorrebbero veder cancellate”.
ALM ha grandi ambizioni , e sta tentando di coinvolgere investitori in vista di uno sbarco in Borsa: l’attacco subito potrebbe pregiudicare tutti i più rosei piani dell’azienda.
Gaia Bottà