Fuga di dati Ashley Madison
La fuga di dati Ashley Madison è stato un rilevante episodio di data breach avvenuto nel 2015.
Nel luglio di quell'anno, un sedicente gruppo "The Impact Team", composto di ignoti, annunciò di aver rubato dati di Ashley Madison, un sito a scopo di lucro che asseritamente facilita relazioni extraconiugali. L'hacker (o gli hacker) copiò informazioni personali riguardanti la base utenti del sito e minacciò di diffondere generalità degli utenti e altre informazioni personali identificative, se Ashley Madison non avesse chiuso immediatamente. Per dimostrare che la minaccia era seria, furono inizialmente diffusi dati personali di oltre 2 500 utenti. L'impresa al principio negò che i suoi archivi fossero compromessi, ed anzi continuò l'attività.
A causa della scarsa sicurezza del sito e della prassi di non eliminare le informazioni personali degli utenti — tra cui il nome vero, la residenza, la cronologia di navigazione, e le registrazioni delle transazioni con carta di credito — dal proprio database (anche oltre il periodo in cui tali informazioni erano ovviamente necessarie al sito per eseguire la propria obbligazione contrattuale), molti utenti temettero di vedere infangata la propria reputazione.[1]
Il 18 e il 20 agosto sono stati resi pubblici oltre 60 gigabyte di dati aziendali, compresi i dati degli utenti. I dati diffusi includevano persino informazioni personali di utenti che avevano pagato il sito per cancellare le loro informazioni personali, poiché l'azienda non aveva veramente cancellato i dati che sosteneva di aver cancellato.
Cronologia dei fatti
[modifica | modifica wikitesto]The Impact Team annunciò l'attacco il 19 luglio 2015 e minacciò di svelare le identità degli utenti di Ashley Madison se la controllante di quest'ultima, Avid Life Media, non avesse chiuso Ashley Madison assieme al suo sito gemello, "Established Men".[2]
Il 20 luglio 2015, il sito web Ashley Madison pubblicò nella propria sezione "Media" tre dichiarazioni in merito alla violazione (dei dati che avrebbe dovuto custodire). Il suo account Twitter, normalmente piuttosto vivace, si chiuse nel silenzio salvo pubblicare i comunicati stampa.[3] Una delle dichiarazioni diceva:
«Al momento siamo riusciti a mettere in sicurezza i nostri siti e a chiudere i punti di accesso non autorizzati. Stiamo collaborando con le forze dell'ordine, che stanno indagando su questo atto criminale. Tutti i responsabili di questo atto di cyberterrorismo saranno ritenuti responsabili. Utilizzando il Digital Millennium Copyright Act (DMCA), il nostro team è riuscito a rimuovere i post relativi a questo incidente e tutte le informazioni di identificazione personale (PII) sui nostri utenti pubblicate online.[4]»
Il sito offrì anche ai propri utenti la possibilità di cancellare l'account senza la spesa ordinariamente addebitata.
Il 21 luglio "The Impact Team" diffuse le informazioni di oltre 2 500 clienti, ma la società smentì l'asserzione che il suo database principale fosse poco sicuro e fosse stato violato.[5] Tuttavia, furono propalati altri 60 gigabyte di dati il 18 agosto e fu confermato che erano autentici.[6] Le informazioni furono rese disponibili su BitTorrent in forma di archivio compresso da 10 gigabyte; il link fu "postato" su un sito del dark web accessibile attraverso il network di anonimato Tor.[7] I dati erano firmati crittograficamente[8] con una chiave PGP. Nel suo messaggio, il gruppo stigmatizzava Avid Life Media, accusando la ditta di pratiche ingannevoli: "Abbiamo spiegato la frode, l'inganno e la stupidità di ALM e dei suoi membri. Ora tutti possono vedere i loro dati... Peccato che l'ALM abbia promesso segretezza ma non l'abbia mantenuta".[9]
Avid Life Media replicò dichiarando che la società collaborava con le autorità per le indagini, e disse che gli attaccanti non erano "hacktivisti" ma delinquenti.[10] Il 20 agosto 2015 fu reso di pubblico dominio un secondo e più ampio blocco di dati, il cui maggior file consisteva di 12,7 gigabyte di email aziendali, comprese quelle di Noel Biderman, all'epoca (si dimise poco dopo i fatti narrati)[11] amministratore delegato di Avid Life Media.[12]
Nel luglio 2017, Avid Life Media (rinominata Ruby Corporation) accettò di transigere, pagando 11,2 milioni di dollari, una ventina di cause legali scaturite dalla fuga di dati.[13][14]
Impatto ed etica
[modifica | modifica wikitesto]Non c'era bisogno di verificare l'account sul sito attraverso l'email per creare un profilo, e questo consentiva che spesso si creassero profili con indirizzi mail fasulli. La società che gestiva Ashley Madison imponeva al titolare della casella mail di pagare una somma per cancellare il profilo, impedendo alle persone che si fossero pure ritrovate iscritte senza consenso (per uno scherzo o per un'errata indicazione dell'indirizzo mail) di cancellarsi senza pagare.[15] Gli hacker sostengono che Avid Life Media abbia ricevuto 1,7 milioni di dollari all'anno da persone che pagavano per chiudere i profili degli utenti creati sul sito. L'azienda affermava falsamente che, dietro pagamento, avrebbe "cancellato completamente" i profili, promessa che l'hackeraggio ha dimostrato essere falsa.[15]
Josh Duggar, un ventisettenne divenuto famoso come membro adolescente di una famiglia cristiana conservatrice protagonista di un reality intitolato 19 Kids and Counting, è stato uno dei più noti utenti di Ashley Madison i cui dati sono stati violati. I dati diffusi includevano le registrazioni di quasi mille dollari di transazioni su una carta di credito a suo nome. La notizia del rilascio dei dati ha aggravato i suoi problemi con le rivelazioni fatte all'inizio dell'anno sui rapporti della polizia sulla sua cattiva condotta sessuale; il 20 agosto ha ammesso di essere stato infedele alla moglie.[16][17] La fuga di dati avvenne subito dopo la pubblicazione di un rapporto della polizia in cui si affermava che l'uomo aveva palpeggiato cinque ragazze minorenni, tra cui alcune sue sorelle. Il 25 agosto si fece ricoverare in un centro di riabilitazione.[18][19][20]
Dopo l'hackeraggio, comunità di "giustizieri web" iniziarono a setacciare la Rete in cerca di persone famose da mettere alla gogna.[21] France 24 riferì che nel database divulgato si trovavano 1 200 indirizzi mail sauditi '.sa', i cui titolari erano ancora più ricattabili dato che l'adulterio è punito con la morte in Arabia Saudita.[22] Sul sito erano registrate parecchie migliaia di indirizzi statunitensi .mil e .gov.[23][24][25] Alcuni giorni dopo la fuga di notizie, dei ricattatori cominciarono a minacciare le persone che si erano trovate esposte, tentando di estorcere 200 dollari in bitcoin.[26][27][28] Un'azienda iniziò a proporre un "motore di ricerca" in cui le persone potevano digitare gli indirizzi e-mail dei colleghi o del proprio coniuge nel sito web; se l'indirizzo e-mail era presente nella fuga di notizie del database, l'azienda scriveva al titolare della casella comunicando che i dati sarebbero stati divulgati, a meno che non avesse pagato una somma all'azienda stessa (per chiarezza: la ditta millantava alla persona ricattabile la possibilità di "nascondere", dietro opportuno pagamento, i dati che la compromettevano).[29][30]
Numerosi ricercatori di sicurezza informatica e attivisti della privacy su internet misero in discussione sul piano deontologico il comportamento dei giornalisti che divulgarono i dati in dettaglio, come i nomi degli utenti scoperti come membri.[21][31][32][33] Molti commentatori paragonarono l'hackeraggio al danno alla privacy collegato al furto di foto di celebrità del 2014.[34][35]
Alcuni psicologi clinici sostennero che il clamore di un adulterio (o tradimento sentimentale in genere), divenuto di pubblico dominio, aumenta il dolore morale di coniugi e figli.[36] Carolyn Gregoire sostenne che "i social media hanno creato una cultura aggressiva di pubblica vergogna in cui gli individui si prendono la responsabilità di infliggere danni psicologici" e che il più delle volte "la punizione va oltre la portata del crimine".[36] Graham Cluley sostenne che le conseguenze psicologiche per le persone dileggiate potevano essere immense e che era possibile che qualcuno fosse bullizzato fino a contemplare il suicidio.[37][38] Charles J. Orlando, che si era iscritto al sito per condurre ricerche sulle donne che tradiscono, scrisse di essere preoccupato per i coniugi e i figli dei traditori messi alla gogna, affermando che "la mentalità gregaria che è Internet è più che disposta a fungere da giudice, giuria e boia" e che i membri del sito non meritavano "una fustigazione nella piazza virtuale della città con milioni di spettatori".[39]
Il 24 agosto 2015 la polizia di Toronto annunciò che due "suicidi non confermati" (ovvero, i decessi di due persone che sembravano suicidi) erano legati alla fuga di dati, oltre ai "rapporti di crimini d'odio connessi all'hackeraggio".[40][41] Dei rapporti non confermati riferirono che un uomo negli USA si fosse suicidato.[29] Almeno un suicidio, che in precedenza era stato collegato ad Ashley Madison, è stato successivamente dichiarato come dovuto a "stress interamente legato a problemi di lavoro che non avevano alcun nesso con la fuga di dati".[42] Lo stesso giorno, un pastore e professore presso il New Orleans Baptist Theological Seminary si uccise lasciando un biglietto che citava la fuga di dati della settimana precedente.[43]
Gli utenti colpiti dalla fuga di dati introdussero un'azione collettiva da 567 milioni di dollari contro Avid Dating Life e Avid Media, proprietari di Ashley Madison, attraverso lo studio legale Charney Lawyers and Sutts, Strosberg LLP.[44] Nel luglio del 2017 il proprietario di Ruby Corp. annunciò che l'impresa avrebbe transatto la causa per l'importo di 11,2 milioni di dollari.[45] In un'intervista del 2019 il chief strategy officer di Ashley Madison, Paul Keable, confermò l'attivazione di misure di sicurezza come autenticazione a due fattori, PCI DSS e navigazione (web) completamente crittografata come conseguenza dell'hackeraggio del 2015.[46]
Nel 2024 Netflix diffuse Ashley Madison: Sex, Lies & Scandal, una docu-serie[47] in tre parti sull'evento.[48]
Analisi dei dati
[modifica | modifica wikitesto]Annalee Newitz, capo redattrice di Gizmodo, analizzò la fuga di dati.[49] Per cominciare, rilevò che solo circa 12 000 (0,2%) dei 5,5 milioni di account femminili venivano usati regolarmente.[50][51] La stragrande maggioranza di account erano stati usati solo una volta, il giorno in cui erano stati registrati. Newitz scoprì pure che molti account di donne erano stati creati dal medesimo indirizzo IP, il che lascia supporre che ci fossero molti account fasulli. Osservò che le donne controllavano i messaggi di posta elettronica piuttosto di rado: per ogni caso in cui una donna aveva controllato la propria email, la stessa azione era stata eseguita da 13 585 uomini. Solo 9 700 dei 5 milioni di account femminili avevano risposto ad un messaggio almeno una volta, mentre tale azione era stata compiuta da 5,9 milioni di uomini. Concluse, "Gli account di donne mostrano così poca attività che potrebbero benissimo non esserci."[50] In un successivo articolo della settimana seguente, Newitz riconobbe di aver "frainteso le prove" nel suo precedente articolo e che la sua conclusione che ci fossero poche donne attive sul sito si era basata su dati che registravano le attività dei "bot" nel contattare i membri. Newitz confermò che Ashley Madison aveva creato più di 70 000 bot "femminili" per inviare milioni di messaggi falsi agli utenti maschi. Tuttavia, osservò che "non abbiamo assolutamente alcun dato che registri l'attività umana nel database di Ashley Madison scaricato da Impact Team. Tutto ciò che possiamo vedere è quando gli esseri umani falsi hanno contattato quelli veri". Osservò che il sito sembrava tenere traccia dei contatti tra persone, ma che Impact Team non diffuse questi dati.[52]
Le password sul sito "live" (cioè accessibile potenzialmente da chiunque) erano "hashate" usando l'algoritmo bcrypt.[53][54] Un analista di sicurezza che usava lo strumento di recupero password Hashcat con un dizionario basato sulle password di RockYou[55] trovò che circa quattromila password erano tra le più ovvie, con una prevalenza di "123456" e "password".[56] A causa di un errore progettuale per cui le password erano "hashate" anche separatamente con l'algoritmo poco sicuro MD5, alla fine furono violate 11 milioni di password.[57]
Pur riconoscendo che alcuni uomini avevano scoperto lo stratagemma, la scrittrice Claire Brownell del Financial Post ha suggerito che se fossero state condotte solo poche interazioni, i chatbot imitatori di donne, che avevano ingannato molti uomini per indurli ad acquistare account speciali, avrebbero anche potuto superare il test di Turing.[58]
Cultura di massa
[modifica | modifica wikitesto]- La fuga di dati è raccontata nella serie tv Netflix Ashley Madison: Sex, Lies & Scandal del 2024.
Note
[modifica | modifica wikitesto]- ^ Simon Thomsen, Extramarital affair website Ashley Madison has been hacked and attackers are threatening to leak data online, in Business Insider, 20 luglio 2015. URL consultato il 21 luglio 2015 (archiviato il 14 aprile 2021).
- ^ Online Cheating Site AshleyMadison Hacked, su krebsonsecurity.com, 15 luglio 2015. URL consultato il 20 luglio 2015 (archiviato il 16 dicembre 2021).
- ^ Ashley Madison, in Twitter. URL consultato il 20 agosto 2015 (archiviato il 19 agosto 2015).
- ^ Ashley Madison, Statement from Avid Life Media, Inc., 20 luglio 2015. URL consultato il 22 luglio 2015 (archiviato il 21 luglio 2015).
- ^ Alex Hern, Ashley Madison customer service in meltdown as site battles hack fallout, in The Guardian, 21 luglio 2015. URL consultato il 14 dicembre 2016 (archiviato il 1º marzo 2017).
- ^ Ashley Madison condemns attack as experts say hacked database is real, in The Guardian, 19 agosto 2015. URL consultato il 19 agosto 2015 (archiviato il 26 marzo 2016).
- ^ Alex Hern, Ashley Madison hack: your questions answered, in The Guardian, 20 agosto 2015. URL consultato il 14 dicembre 2016 (archiviato il 2 marzo 2017).
- ^ No, You Can't Hire A Hacker To Erase You From The Ashley Madison Leak, in Fast Company, 20 agosto 2015. URL consultato il 21 agosto 2015 (archiviato il 20 agosto 2015).
- ^ Hackers Finally Post Stolen Ashley Madison Data, in WIRED, 18 agosto 2015. URL consultato il 19 agosto 2015.
- ^ Statement from Avid Life Media Inc. – 18 agosto 2015, su media.ashleymadison.com, Ashley Madison, 18 agosto 2015. URL consultato il 19 agosto 2015 (archiviato dall'url originale il 19 agosto 2015).
- ^ Sam Thielman in New York, Ashley Madison CEO Noel Biderman resigns after third leak of emails, su the Guardian, 28 agosto 2015. URL consultato il 26 ottobre 2015.
- ^ Jose Pagliery, Hackers expose Ashley Madison CEO's emails, in CNN Business, 20 agosto 2015. URL consultato il 2 agosto 2020 (archiviato il 28 marzo 2022).
- ^ (EN) David Kravets, Lawyers score big in settlement for Ashley Madison cheating site data breach, in Ars Technica, 17 luglio 2017. URL consultato il 19 luglio 2017 (archiviato il 19 luglio 2017).
- ^ (EN) Ruby Life Inc., Ruby Corp and Plaintiffs Reach Proposed Settlement of Class Action Lawsuit Regarding Ashley Madison Data Breach, in PR Newswire, 14 luglio 2017. URL consultato il 19 luglio 2017.
- ^ a b Some Dude Created an Ashley Madison Account Linked to My Gmail, and All I Got Was This Lousy Extortion Screen, in The Intercept, 21 luglio 2015. URL consultato il 24 agosto 2015 (archiviato dall'url originale il 22 agosto 2015).
- ^ Dana Ford, Josh Duggar after Ashley Madison hack: 'I have been the biggest hypocrite ever', su CNN, 20 agosto 2015. URL consultato il 20 agosto 2015 (archiviato il 20 agosto 2015).
- ^ Amanda Remling, '19 Kids And Counting' Star Josh Duggar Admits He Was Unfaithful To Wife Anna After Ashley Madison Leak, in International Business Times, 20 agosto 2015. URL consultato il 20 agosto 2015 (archiviato dall'url originale il 20 agosto 2015).
- ^ Maria Puente, Josh Duggar checks into rehab, family says, in USA Today, 26 agosto 2015. URL consultato il 22 agosto 2017 (archiviato il 19 maggio 2018).
- ^ Sarah Larimer, Josh Duggar enters 'long-term treatment center' following 'wrong choices', in The Washington Post, 26 agosto 2015. URL consultato il 22 agosto 2017 (archiviato il 19 maggio 2018).
- ^ Todd Leopold, Josh Duggar enters rehab, family says, su CNN, 26 agosto 2015. URL consultato il 26 agosto 2015 (archiviato il 30 agosto 2015).
- ^ a b Early Notes on the Ashley Madison Hack, in The Awl. URL consultato il 20 agosto 2015 (archiviato dall'url originale il 21 agosto 2015).
- ^ Americas - The global fallout of the Ashley Madison hack, in France 24, 20 agosto 2015. URL consultato il 24 agosto 2015 (archiviato il 23 agosto 2015).
- ^ Thomas Gibbons-Neff, Thousands of .mil addresses potentially leaked in Ashley Madison hack, in The Washington Post, 19 agosto 2015. URL consultato il 20 agosto 2015 (archiviato il 20 agosto 2015).
- ^ Report: Hack of Adultery Site Ashley Madison Exposed Military Emails, in Military.com, 31 ottobre 2017. URL consultato il 20 agosto 2015 (archiviato il 20 agosto 2015).
- ^ Philip Ewing, Pentagon investigating whether troops used cheating website, in Politico, 20 agosto 2015. URL consultato il 21 agosto 2015 (archiviato il 20 agosto 2015).
- ^ Brian Krebs, Extortionists Target Ashley Madison Users, in Krebs on security, 21 agosto 2015. URL consultato il 22 agosto 2015 (archiviato il 22 agosto 2015).
- ^ Extortion begins for Ashley Madison hack victims, in The Hill, 21 agosto 2015. URL consultato il 24 agosto 2015 (archiviato il 23 agosto 2015).
- ^ Ashley Madison users now facing extortion, in FOX2now.com, 21 agosto 2015. URL consultato il 24 agosto 2015 (archiviato il 22 agosto 2015).
- ^ a b Ashley Madison spam starts, as leak linked to first suicide, in theregister.co.uk. URL consultato il 24 agosto 2017 (archiviato l'11 marzo 2017).
- ^ The Ashley Madison files – are people really this stupid?, in theregister.co.uk. URL consultato il 24 agosto 2017 (archiviato il 22 marzo 2017).
- ^ In the wake of Ashley Madison, towards a journalism ethics of using hacked documents, in Online Journalism Blog, 20 luglio 2015. URL consultato il 20 agosto 2015 (archiviato il 18 agosto 2015).
- ^ Ashley Madison hack: The ethics of naming users - Fortune, in Fortune. URL consultato il 20 agosto 2015 (archiviato il 20 agosto 2015).
- ^ Jon Ronson And Public Shaming, in onthemedia. URL consultato il 20 agosto 2015 (archiviato il 4 marzo 2016).
- ^ Ashley Madison hack: The depressing rise of the 'moral' hacker, in Telegraph.co.uk, 20 agosto 2015. URL consultato il 4 aprile 2018 (archiviato il 15 settembre 2017).
- ^ As our own privacy becomes easier to invade, are we losing our taste for celebrity sleaze?, in newstatesman.com, 5 agosto 2015. URL consultato il 20 agosto 2015 (archiviato il 21 agosto 2015).
- ^ a b Carolyn Gregoire, Ashley Madison Hack Could Have A Devastating Psychological Fallout, in HuffPost, 20 agosto 2015. URL consultato il 24 agosto 2015 (archiviato il 23 novembre 2015).
- ^ Graham Cluley, The Ashley Madison hack - further thoughts on its aftermath, su grahamcluley.com, 28 luglio 2015. URL consultato il 24 agosto 2015 (archiviato il 18 settembre 2016).
- ^ Farhad Manjoo, Hacking victims deserve empathy, not ridicule, in Sydney Morning Herald, 6 settembre 2015. URL consultato il 6 settembre 2015 (archiviato il 7 settembre 2015).
- ^ Charles J. Orlando, I Was Hacked on Ashley Madison – But It's You Who Should Be Ashamed, su Yahoo! Style, 23 luglio 2015. URL consultato l'8 ottobre 2015 (archiviato il 21 marzo 2017). Ospitato su Your Tango.
- ^ Ashley Madison hack: 2 unconfirmed suicides linked to breach, Toronto police say, CBC, 24 agosto 2015. URL consultato il 24 agosto 2015 (archiviato il 24 agosto 2015).
- ^ Suicide and Ashley Madison, in Graham Cluley, 24 agosto 2015. URL consultato il 24 agosto 2015 (archiviato il 24 settembre 2015).
- ^ Jacob Beltran, Widow addresses suicide of SAPD captain linked to Ashley Madison site, su mysanantonio.com, San Antonio Express News, 25 agosto 2015. URL consultato il 27 agosto 2015 (archiviato il 17 marzo 2021).
- ^ Laurie Segall, Pastor outed on Ashley Madison commits suicide, in CNN Business, 8 settembre 2015. URL consultato il 2 agosto 2020 (archiviato il 14 maggio 2020).
- ^ Ashley Madison faces huge class-action lawsuit, in BBC News, 23 agosto 2015. URL consultato il 24 agosto 2015 (archiviato il 4 dicembre 2020).
- ^ Ashley Madison parent in $11.2 million settlement over data breach, su cnbc.com, CNBC, 15 luglio 2017. URL consultato il 15 luglio 2017 (archiviato il 15 luglio 2017).
- ^ Ashley Madison Review, su Datingscout.com. URL consultato il 5 gennaio 2020 (archiviato il 25 novembre 2020).
- ^ I documentari televisivi sono produzioni mediatiche televisive che proiettano documentari. I documentari televisivi esistono sia come serie di documentari televisivi sia come film documentario televisivo. Le serie di documentari televisivi, talvolta chiamate docuserie, sono serie televisive proiettate all'interno di una collezione ordinata di due o più episodi televisivi. I film documentari televisivi esistono come singoli film documentari da trasmettere attraverso un canale di documentari o un canale di notizie. Occasionalmente, i film documentari inizialmente destinati alla trasmissione televisiva possono essere proiettati al cinema. La televisione documentaristica è salita alla ribalta negli anni '40, nascendo da precedenti iniziative di documentarismo cinematografico. Le prime tecniche di produzione erano altamente inefficienti rispetto ai moderni metodi di registrazione. I primi documentari televisivi presentavano tipicamente argomenti storici, bellici, investigativi o legati a eventi. I documentari televisivi contemporanei si sono estesi a personaggi famosi, sport, viaggi, economia e fauna selvatica. Molti documentari televisivi hanno creato polemiche e dibattiti su questioni etiche, culturali, sociali e politiche. Sono sorte controversie anche riguardo all'attuale formattazione delle serie di documentari televisivi, nonché alla contestualizzazione dei documentari televisivi trasmessi tramite i servizi di streaming contemporanei.
- ^ Lux Alptraum, The biggest lessons from Netflix's new doc about the Ashley Madison scandal, MSNBC, 15 maggio 2024. URL consultato il 21 maggio 2024.
- ^ Annalee Newitz, The Fembots of Ashley Madison, in Gizmodo, 27 agosto 2015. URL consultato il 28 agosto 2015 (archiviato il 27 agosto 2015).
- ^ a b Brad Reed, The most hilarious revelation about the Ashley Madison hack yet, in Yahoo! Tech, 27 agosto 2015. URL consultato il 28 agosto 2015 (archiviato il 28 agosto 2015).
- ^ Paul Gallagher, Ashley Madison hack: Just three in every 10,000 female accounts on infidelity website are real, in The Independent, 27 agosto 2015. URL consultato il 24 agosto 2017 (archiviato il 28 novembre 2018).
- ^ Annalee Newitz, Ashley Madison Code Shows More Women, and More Bots, in Gizmodo, 31 agosto 2015. URL consultato il 19 dicembre 2015 (archiviato il 19 ottobre 2017).
- ^ Dean Pierce, Sophisticated Security, in pxdojo.net. URL consultato il 29 agosto 2015 (archiviato il 28 agosto 2015).
- ^ Zack Whittaker, This is the worst password from the Ashley Madison hack, in ZDNet. URL consultato il 29 agosto 2015 (archiviato il 28 agosto 2015).
- ^ Nel dicembre 2009, la società RockYou subì una violazione dei dati che portò alla divulgazione di oltre 32 milioni di account utente. L'azienda utilizzava un database non criptato per memorizzare i dati degli account degli utenti, comprese le password in chiaro (e non gli hash delle password) per il proprio servizio, nonché le password degli account collegati a siti partner (tra cui Facebook, Myspace e servizi di webmail). RockYou inviava inoltre la password in chiaro via e-mail all'utente durante il recupero dell'account. Inoltre, non consentiva l'uso di caratteri speciali nelle password. L'hacker utilizzò una vulnerabilità SQL nota da 10 anni per accedere al database. L'azienda impiegò giorni per informare gli utenti dopo l'incidente e inizialmente comunicò erroneamente che la violazione riguardava solo le applicazioni più vecchie, mentre in realtà riguardava tutti gli utenti di RockYou. L'elenco completo delle password esposte a seguito della violazione è disponibile in Kali Linux, sin dal suo lancio nel 2013. A causa della sua facile reperibilità e della sua lunghezza, è comunemente usata negli attacchi a dizionario.
- ^ Include Security, Include Security Blog - As the ROT13 turns....: A light-weight forensic analysis of the AshleyMadison Hack, in includesecurity.com, 19 agosto 2015. URL consultato il 20 agosto 2015 (archiviato il 22 agosto 2015).
- ^ Dan Goodin, Once seen as bulletproof, 11 million+ Ashley Madison passwords already cracked, in Ars Technica, 10 settembre 2015. URL consultato il 10 settembre 2015 (archiviato il 10 settembre 2015).
- ^ Claire Brownell, Inside Ashley Madison: Calls from crying spouses, fake profiles and the hack that changed everything, in Financial Post, 11 settembre 2015. URL consultato il 18 settembre 2015 (archiviato il 29 settembre 2015).