Durante la scorsa settimana, le testate di tutto il mondo hanno riportato l'attacco sferrato al sito per incontri extra-coniugali Ashley Madison e alla società madre Avid Life Media, che ha potenzialmente avuto conseguenze sulle decine di milioni di utenti del sito, oltre ad aver sparso il codice sorgente dei prodotti della società sul dark web.Gli hacker dietro l'attacco, che si fanno chiamare The Impact Team, hanno iniziato pubblicando qualche frammento dei dati trafugati a luglio. Dopo quasi 30 giorni, hanno rovesciato in rete 10 GB di informazioni sui clienti, e altri 20 GB di dati interni. Pochi minuti fa, gli hacker hanno pubblicato anche un terzo data dump.
Pubblicità
Motherboard ha ricevuto un indirizzo mail di The Impact Team grazie a un intermediario. Dopo il primo contatto, gli hacker hanno risposto con un messaggio firmato con la stessa PGP key che compariva nei dump di Ashley Madison.
"Noi non abbiamo minacciato gli utenti. Avid Life Media lo ha fatto."
The Impact Team ha accettato di rispondere sono a un paio di domande via mail. Ciò che segue è un breve botta e risposta con loro, modificato leggermente per chiarezza.
MOTHERBOARD: Come avete fatto a hackerare la Avid Life Media? È stato difficile?The Impact Team: Abbiamo lavorato molto per fabbricare un attacco che passasse completamente in sordina, ma quando siamo entrati non abbiamo trovato nulla da eludere.Com'era la sicurezza?Terribile. Nessuno stava di guardia. Zero sicurezza. C'era solo una rete segmentata. Si poteva usare Pass1234 da internet al VPN per entrare dentro a tutti i server.Quando avete iniziato l'attacco? Anni fa?Molto tempo fa. [Nota: in un file README allegato al primo data dump, gli hacker hanno scritto di aver collezionato informazioni sulla società "durante gli ultimi anni."]
Di quali altri dati della Avid Life Media siete entrati in possesso?300GB di mail di impiegati e documenti provenienti dalla rete interna. Decine di migliaia di foto degli utenti di Ashley Madison. Alcune delle loro chat e messaggi. ⅓ delle foto ritraggono peni, non abbiamo intenzione di pubblicarle. Non pubblicheremo neanche la maggior parte delle mail degli impiegati. Forse altri dirigenti.
Pubblicità
Come mai avete rilasciato i dati a blocchi, invece che un po' per volta?Parliamo male inglese? È sempre stato questo il piano. Il primo rilascio era composto da un semplice dump da 2700 transazioni. Dal 21-03-2008…28-06-2015. Uno al giorno. Quello successivo sarebbe stato completo di tutto. Più facile, così.Cosa pensate della reazione della Avid Life Media (e del CEO Noel Biderman)?Fanno 100.000.000 di dollari in casi di frode all'anno. Non ci stupisce che non abbiano chiuso tutto. Forse i legali prenderanno questa decisione ora. Sembra di sentire dei politici, non smettono mai di mentire. Dicevano di non conservare i CC [i dati delle carte di credito]. Certo, non conservano neanche le mail, si collegano semplicemente tutti i giorni al server per leggerle. Avevano una password per il processore CC. Abbiamo scaricato tutto dal processore CC.[Aggiornamento: quando abbiamo chiesto loro di spiegarsi meglio, The Impact Team ci ha inviato quanto segue.]Hanno dei processori per le transazioni economiche. Questi processori conservano la maggior parte dei numeri delle carte di credito e degli indirizzi di fattura. Come gmail conserva le loro mail. Possono fare log-in e controllare le transazioni.Quali sono state le vostre motivazioni?Siamo stati dentro Avid Life Media per un bel po', per capire tutto quello che dovevamo. Abbiamo visto le iscrizioni a Ashley Madison crescere e il traffico umano sul sito. Dicono tutti 37 milioni! Di ricattare gli utenti! Non abbiamo ricattato gli utenti. L'ha fatto la Avid Life Media. Certo qualsiasi team di hacker avrebbe potuto farlo. L'abbiamo fatto per fermare i prossimi 60 milioni. La Avid Life Media è come uno spacciatore che si approfitta dei drogati.
Pubblicità
Nei dump ci sono anche prove che il "Full Delete" non funziona?Sì. Ci sono un sacco di account e di identità lì dentro.Quanta esperienza hanno gli hacker di The Impact Team?Molta.The Impact Team ha intenzione di attaccare altri siti in futuro? Se sì, quali target o tipi di target avete in mente?Non solo siti. Qualsiasi società che faccia centinaia di milioni sul dolore, sui segreti, sulle bugie della gente. Forse anche politici corrotti. Qualsiasi cosa facciamo, ci vorrà tempo. Ma sarà totale.
Di quali altri dati della Avid Life Media siete entrati in possesso?300GB di mail di impiegati e documenti provenienti dalla rete interna. Decine di migliaia di foto degli utenti di Ashley Madison. Alcune delle loro chat e messaggi. ⅓ delle foto ritraggono peni, non abbiamo intenzione di pubblicarle. Non pubblicheremo neanche la maggior parte delle mail degli impiegati. Forse altri dirigenti.Come mai avete rilasciato i dati a blocchi, invece che un po' per volta?Parliamo male inglese? È sempre stato questo il piano. Il primo rilascio era composto da un semplice dump da 2700 transazioni. Dal 21-03-2008…28-06-2015. Uno al giorno. Quello successivo sarebbe stato completo di tutto. Più facile, così.Cosa pensate della reazione della Avid Life Media (e del CEO Noel Biderman)?Fanno 100.000.000 di dollari in casi di frode all'anno. Non ci stupisce che non abbiano chiuso tutto. Forse i legali prenderanno questa decisione ora. Sembra di sentire dei politici, non smettono mai di mentire. Dicevano di non conservare i CC [i dati delle carte di credito]. Certo, non conservano neanche le mail, si collegano semplicemente tutti i giorni al server per leggerle. Avevano una password per il processore CC. Abbiamo scaricato tutto dal processore CC.[Aggiornamento: quando abbiamo chiesto loro di spiegarsi meglio, The Impact Team ci ha inviato quanto segue.]Hanno dei processori per le transazioni economiche. Questi processori conservano la maggior parte dei numeri delle carte di credito e degli indirizzi di fattura. Come gmail conserva le loro mail. Possono fare log-in e controllare le transazioni.Quali sono state le vostre motivazioni?Siamo stati dentro Avid Life Media per un bel po', per capire tutto quello che dovevamo. Abbiamo visto le iscrizioni a Ashley Madison crescere e il traffico umano sul sito. Dicono tutti 37 milioni! Di ricattare gli utenti! Non abbiamo ricattato gli utenti. L'ha fatto la Avid Life Media. Certo qualsiasi team di hacker avrebbe potuto farlo. L'abbiamo fatto per fermare i prossimi 60 milioni. La Avid Life Media è come uno spacciatore che si approfitta dei drogati.Nei dump ci sono anche prove che il "Full Delete" non funziona?Sì. Ci sono un sacco di account e di identità lì dentro.Quanta esperienza hanno gli hacker di The Impact Team?Molta.The Impact Team ha intenzione di attaccare altri siti in futuro? Se sì, quali target o tipi di target avete in mente?Non solo siti. Qualsiasi società che faccia centinaia di milioni sul dolore, sui segreti, sulle bugie della gente. Forse anche politici corrotti. Qualsiasi cosa facciamo, ci vorrà tempo. Ma sarà totale.