Gli hacker hanno pubblicato i dati di 37 milioni di utenti di Ashley Madison

via AshleyMadison.com

Gli hacker che un mese fa avevano violato i server del sito d'incontri extraconiugali Ashley Madison hanno fatto ciò che finora avevano solo minacciato di fare: sono infatti stati pubblicati online i dati personali di 37 milioni di utenti del sito.

L'esperto di sicurezza informatica Brian Krebs ha confermato l'enorme furto di dati, dicendo che sono state rubate informazioni personali come i numeri di carta di credito e persino gli indirizzi e le coordinate gps degli utenti al momento della registrazione. I numeri di carta di credito si riferiscono a transazioni effettuate sul sito a partire dal 2007.

Anche compressi, la dimensione di questa montagna di dati è di 10 GB. Si presume che il tutto sia comparso prima come torrent diffuso su una pagina nella darknet, presumibilmente tramite una rete VPN per proteggere l'identità degli hacker.

"Avid Media non ha chiuso Ashley Madison e Established Men," ha scritto in una dichiarazione pubblicata nella darknet l'hacker che ha violato il sito. "Abbiamo già discusso della stupidità di ALM e dei suoi membri. Adesso ognuno potrà vedere i loro nomi."

In questo momento, numerosi utenti di Reddit e 4Chan stanno passando al setaccio milioni di username e indirizzi. A quanto pare, avrebbero già individuato alcuni indirizzi email appartenenti a membri del governo inglese; ci sarebbero inoltre circa 15.000 indirizzi .gov o .mil, domini che identificano i membri del governo e dell'esercito americano. In ogni caso, non è chiaro se si tratti di profili veri o falsi. Detto ciò, per un politico sarebbe piuttosto stupido registrarsi con i suoi veri dati, dal momento che ALM è un portale pensato esplicitamente per le persone sposate che vogliono tradire il proprio partner.

Graham Cluley, un ricercatore che si occupa di sicurezza informatica, ha osservato i dati pubblicati e da una prima occhiata è giunto a queste conclusioni:
- Ci sono 5 milioni di donne e 28 milioni di uomini registrati;
- Nelle transazioni vengono usate esclusivamente carte di credito intestate a uomini. (Questo significa che gli uomini spendono molto più delle donne o che le donne infedeli usano le carte di credito di qualcun altro?);
- Nei profili sono specificati l'altezza, il peso e l'indirizzo degli utenti, nonché le loro password.

Gli stessi hacker, che si fanno chiamare "The Impact Team," si sono rivolti in questo modo alle vittime della violazione di dati personali:

"Avete trovato qualcuno che conoscete? Sappiate che il sito è pieno di profili femminili falsi. E il 90-95 percento dei profili è intestato a uomini. Magari vostro marito si è iscritto al più grande sito d'incontri extra-coniugali del mondo senza mai concludere niente. Ci ha solo provato. Se fa qualche differenza. (…) Se vi trovate in questa lista, allora sappiate che ALM vi ha mentito e non vi ha protetto a sufficienza. Procedete per vie legali, poi tornate a fare la vostra vita e portatevi a casa la lezione. È imbarazzante, ma andrete avanti comunque."

La presunta menzogna a cui si riferiscono gli hacker è il costoso pacchetto "Full Delete" offerto da Ashley Madison agli utenti che desiderano cancellare in maniera definitiva tutti i loro dati personali dalla piattaforma. Come The Impact Team aveva già scritto a luglio, la motivazione dell'attacco sarebbe stata la mancata implementazione di questa funzione, che era offerta a pagamento ma non garantiva la rimozione completa dei dati dalla piattaforma.

Se qualcuno pensa di essere tra le persone vittime di questa violazione, può controllare scaricando il database e facendo una ricerca al suo interno con MatLab. Ma fate attenzione, perché stanno già circolando un sacco di link falsi pieni di informazioni inutili.

A quanto pare, la violazione sarebbe stata resa possibile da qualcuno che aveva già avuto in precedenza accesso al database di Ashely Madison. Per molti utenti del sito, i prossimi giorni riserveranno delle belle sorprese.