Anni dopo, l’hack di Ashley Madison rimane un mistero irrisolto su internet

Years later, the Ashley Madison hack remains an unsolved mystery on the internet.

È davvero strano quanto poco sappiamo dell’hacker o degli hacker che hanno esposto le identità di oltre 30 milioni di utenti di Ashley Madison nel 2015. Hanno diffuso dati estremamente sensibili su milioni di persone, non hanno tratto profitto in alcun modo evidente, hanno trasformato “Ashley Madison” in una battuta in tutto il mondo anglofono e sono spariti nel nulla.

Probabilmente ricordi l’hack, ma è difficile che ricordi il colpevole: un’entità chiamata “The Impact Team”. È stata offerta una ricompensa di 500.000 dollari per informazioni che portassero al loro arresto e processo, ma non è mai stato effettuato un tale arresto.

Noel Biderman, il CEO all’epoca della casa madre di Ashley Madison, ha affermato di sapere esattamente chi l’ha fatto e che si trattava di un insider. Ma si è scoperto che si trattava di un ex dipendente deceduto per suicidio prima dell’hack.

Un possibile colpevole scoperto dai ricercatori all’epoca era una figura enigmatica che si faceva chiamare Thadeus Zu. Un ricercatore di Berkeley di nome Nicholas Weaver ha trovato le prove indiziarie contro Zu abbastanza convincenti da chiedere alle forze dell’ordine di ottenere un mandato, aprire gli account dei social media di Zu e scoprire di più. A quanto pare ciò non è mai accaduto.

Ma Brian Krebs, il ricercatore sulla sicurezza che ha segnalato inizialmente l’hack e ha inizialmente accusato Thadeus Zu, ha scoperto una persona altrettanto interessante all’inizio di quest’anno: Evan Bloom, un ex dipendente di Ashley Madison condannato nel 2019 per la vendita di informazioni di account internet hackerate. In un’intervista con Krebs, Bloom ha negato il coinvolgimento.

Senza un colpevole in grado di raccontarci la storia interna di ciò che è successo, è stato archiviato il caso dell’hack di Ashley Madison nella biblioteca della storia di Internet? Siamo stati tutti, in un certo senso, truffati nell’accettare “LOL” come nostra risposta collettiva a qualcosa di brutto e insidioso?

Il tweet potrebbe essere stato eliminato

Ashley Madison era da tempo un bersaglio interessante per gli hacker

Per ricordarti, Ashley Madison è (sì, è, non era) un sito web a pagamento per appuntamenti, fondato nel 2001 e rivolto a persone che sono già in relazioni – il che significa che è destinato a collegare gli aspiranti traditori con i potenziali complici.

Probabilmente ricordi la franchezza degli adesivi: “La vita è breve. Fai una scappatella”. Quindi, se eri una persona impegnata che desiderava un posto online per cercare semplicemente qualcuno con cui avere sesso segreto e organizzare i necessari incontri per avere quel sesso, Ashley Madison sembrava proprio il servizio di shopping a tutto tondo che cercavi.

Si diceva anche che Ashley Madison stesse sfruttando la paranoia dei suoi utenti in materia di sicurezza dei dati per ottenere ulteriori entrate. Una funzione chiamata “Full Delete” prometteva di rimuovere tutte le tracce di un utente dal sistema interno del sito al modico prezzo di 19 dollari e ha fatto guadagnare milioni all’azienda. ArsTechnica ha pubblicato un articolo sulla dubbia praticità di questa funzione nei mesi precedenti l’hack. Il gruppo The Impact Team avrebbe poi affermato che la funzione non funzionava nemmeno e gli analisti che hanno esaminato il database del sito avrebbero trovato prove che gli hacker avevano ragione.

Miriam Gottfried del Wall Street Journal ha scritto nel maggio 2015, quasi due mesi prima dell’attacco, che alla luce di un hack simile su AdultFriendFinder.com, che ha in parte svelato coniugi traditori, “la società madre di AshleyMadison.com, un sito di incontri specificamente rivolto a coniugi traditori, potrebbe voler prendere nota”. E quella stessa società madre, Avid Life Media, stava in modo imprudente facendo rumore quella primavera prendendo misure per diventare una società quotata in borsa.

Quindi, anche prima di essere hackerato, Ashley Madison era una bomba ad orologeria che faceva molto rumore.

E poi è esplosa.

Cosa ha rivelato l’hack

L’incidente stesso è leggendario. Gli utenti intensivi di Internet conoscevano già Ashley Madison come un sito web disreputabile e vagamente inaffidabile, ma l’hack lo ha reso un nome di dominio pubblico, almeno per un certo periodo. Di conseguenza, Ashley Madison è ora un termine di uso comune per l’infedeltà digitale.

È stato diffuso un sacco di dati, inclusi un enorme database di informazioni sugli utenti che includeva nome e cognome, indirizzo email, indirizzo di residenza e data di nascita degli utenti.

Quindi questi utenti trapelati erano tutti traditori? Beh, probabilmente non di successo in molti casi. In termini di comodità e affidabilità, il sito non corrispondeva alla promessa di essere il “Prime di Amazon, ma per l’infedeltà”.

Il gruppo Impact affermerà in seguito che il 90-95 percento dei profili femminili erano falsi. Questo era quasi certamente un’esagerazione, ma esami della struttura del sito hanno presto reso chiaro che Ashley Madison stava collegando un vasto numero di utenti maschi con utenti femminili presumibilmente che erano in realtà chatbot e che non aveva un sistema di dimensioni comparabili per tranquillizzare le utenti femminili solitarie.

Per essere chiari, c’erano utenti femminili reali – e dopo l’hack, alcune di loro hanno persino scritto delle loro avventure sessuali – ma lo squilibrio di genere nella base utenti era chiaramente un problema noto all’interno di Ashley Madison.

Un presunto atto di “hacktivismo” che ha distrutto vite

Sembra che un hack fosse sospettato all’inizio di luglio 2015 e poi è stato indagato fino a quando un post su un forum di hacker non identificato è stato finalmente segnalato il 15 luglio dal ricercatore di sicurezza Brian Krebs. Il rilascio iniziale delle informazioni includeva un manifesto intitolato – un po’ in modo confuso per gli estranei – “AM ed EM devono chiudere immediatamente in modo permanente.” AM si riferisce ad Ashley Madison ed EM si riferisce a Established Men, un altro sito di incontri di proprietà di Avid Life Media. Questo è per relazioni con differenza di età tra ingénue e uomini ricchi più anziani.

La notizia era pronta per un monologo di un programma televisivo notturno, e le personalità televisive hanno risposto:

Non molto nella routine di stand-up di James Corden sull’hack è così stravagante. Ci chiede di immaginare un marito disperato e colpevole che cerca di sgusciare via dall’essere scoperto, agitandosi e sminuendo l’hack come se non fosse niente. Ulteriori rapporti successivi mostrano che Corden stava semplicemente descrivendo la realtà in innumerevoli matrimoni in difficoltà all’epoca.

Ma il manifesto del gruppo Impact semplicemente non esprimeva disapprovazione sull’adulterio e infatti, la lettura era confusa se qualcuno avesse effettivamente preso il tempo. L’autore si rivolge al CTO di Avid Life Media per nome, dicendo “Beh Trevor, benvenuto nel tuo peggior incubo,” e si vanta delle incredibili abilità di hacking del gruppo Impact. Le loro lamentele effettive sono dirette alla stessa azienda, notando che “la gestione di ALM è una cazzata e ha guadagnato milioni di dollari tramite una frode del 100%.”

Il manifesto afferma poi che la funzione di eliminazione completa è sia disonesta che non funzionante, notando che l’azienda “sarà responsabile di frode e danni personali e professionali estremi da parte di milioni dei loro utenti,” un appello apparente alle simpatie degli adulteri. Ma per sicurezza, vengono anche aggiunte le informazioni personali di due utenti (per questo motivo ENBLE non le collegherà).

“Se trai profitto dal dolore degli altri, qualunque cosa ci voglia, ti faremo completamente impazzire”, recita il manifesto. Nei mesi successivi, l’hack sarebbe stato utilizzato come studio di caso sull’hacktivismo. Forbes, ad esempio, lo ha definito hacktivismo, notando che Ashley Madison, “senza dubbio, ha adottato un approccio pubblico a un argomento semitabù (l’adulterio) nella società americana e ha cercato controversie come parte del loro piano di marketing.” Ma niente nel loro manifesto, né la loro apparente unica apparizione mediatica, un’intervista con Vice, dava alcuna prova che favorire l’infedeltà in sé fosse l’effettivo impulso per l’hack. Le loro accuse di frode, gestione del sito scadente e scarsa sicurezza sono l’estensione della loro ragionamento. “Avid Life Media è come un trafficante di droga che abusa degli drogati,” hanno detto a Joseph Cox di Vice.

In termini di logica, era come irrompere in una fabbrica di armi solo per punire l’azienda per la produzione di bombe difettose, rubare tutte le bombe e poi farle cadere sul Pentagono. Indipendentemente dal costo umano e dalle motivazioni dichiarate degli attaccanti, alcuni avversari del Pentagono sicuramente applaudivano e alcuni potrebbero non essere nemmeno curiosi del perché sia successo.

La reazione pubblica è stata insensibile alle vittime

La pubblicazione delle informazioni che ha seguito l’hack ha esposto milioni di coniugi umiliati all’ira delle famiglie che hanno tradito e ai circoli sociali che hanno deluso. Mentre c’erano molte lamentazioni sulle ambiguità morali dello scarico dei dati, alcuni commentatori hanno comunque colto l’occasione per lanciare le loro frecciate verbali più crudeli.

Scrivendo su The Observer poco dopo la rivelazione dei dati, la commentatrice Barbara Ellen ha dichiarato che questa serie di traditori era colpevole di “stupidità” e non meritava alcuna pietà. Si potrebbe presumere che ella stesse sostenendo la moralità convenzionale, ma in realtà, Ellen ha trovato gli utenti di Ashley Madison “troppo paurosi, avari e/o timidi per avere una vera e propria relazione o assumere una prostituta”. In altre parole, questi traditori erano eccezionalmente meschini e meritavano tutto ciò che hanno ottenuto.

Personaggi dei media come Ellen non sono andati così lontano da definire il gruppo di hacker eroico, ma molti utenti di Internet lo hanno fatto.

Anche se alcuni hanno visto il crimine come decisamente eroico e altri come epocale, l’impatto sugli utenti di Ashley Madison è stato devastante: almeno una persona si è uccisa, forse due.

Tuttavia, sembra che l’hack non abbia avuto un impatto duraturo sulle norme e sul comportamento online, o forse ha reso tutto peggio.

E chiunque consideri gli hacker eroici sicuramente non avrebbe fretta di svelarli e portarli alla giustizia. Questo sembra sempre più essere un istinto sbagliato.

Qual era il vero motivo dell’Impact Team?

Ho contattato esperti di cybercrime per saperne di più sui possibili motivi, ma nessuno ha voluto speculare. Ad esempio, Kevin Steinmetz, ricercatore di cybercrime presso la Kansas State University, è stato riluttante a parlarmi di questo caso confuso. Steinmetz ha detto che alcuni dettagli del caso sembrano “non qualcosa che si vede emergere come ‘hacktivist'”.

Se il loro hacktivismo confuso e autocontraddittorio non era il loro vero motivo, l’altra possibilità ovvia è il guadagno monetario, qualcosa che hanno energicamente negato a Vice.

Ma anche se questi hacker cercavano soldi, hanno compromesso la loro opportunità di profitto dando via i preziosi dettagli personali a chiunque poco più di un mese dopo l’hack iniziale. Hanno reso tutti i dati disponibili su BitTorrent tramite un link presente nel dark web. (È opportuno notare che Bloom, che ha negato il coinvolgimento nell’hack, ha venduto i dati di Ashley Madison trapelati come parte di un’operazione di vendita di dati più ampia). In una dichiarazione correlata, l’Impact Team si è dimostrato comprensivo delle persone le cui informazioni erano trapelate – “peccato per quegli uomini” – ma ha anche espresso giudizio nei loro confronti per la prima volta, dicendo che “sono degli imbroglioni e non meritano alcuna discrezione”.

Qualcuno ha utilizzato i dati trapelati per portare avanti una serie di estorsioni che sono continuate almeno fino al 2020, ma non ci sono prove che l’Impact Team abbia perpetrato direttamente alcuna delle estorsioni che ha reso possibili.

Parlando in generale degli hacker nel corso della storia, Steinmetz ha sottolineato che “c’erano attori che lo facevano per il gusto di farlo”, facendo riferimento alla pratica familiare dello stile del Joker di causare distruzione per il gusto di farlo, solo per ridere delle vittime. Ma ha aggiunto: “Non c’è motivo per cui una vera motivazione politica non possa coesistere con il farlo per divertimento e soddisfazione”.

Steinmetz ha indicato un esempio parallelo utile: Cult of the Dead Cow, il gruppo che ha reso famoso il termine “hacktivismo” – e che ha brevemente fatto notizia nel 2019 a causa dell’improvvisa ascesa all’importanza di un ex membro, Beto O’Rourke. Cult of the Dead Cow ha reso pubblica una falla di sicurezza in Windows 98 di Microsoft pubblicando un software che permetteva di controllare a distanza i sistemi, teoricamente contro la volontà del proprietario del sistema. Come tocco finale, hanno dato al loro software il nome anatomico “Back Orifice” per un maggiore impatto mediatico.

“Back Orifice sarà reso disponibile a chiunque si prenda il tempo di scaricarlo”, dice la dichiarazione pubblicitaria del Culto. “Quindi, cosa significa per chiunque abbia aderito all’approccio tipo formaggio svizzero di Microsoft alla sicurezza?” Microsoft ha fatto poco caso, nonostante l’attenzione mediatica, e Back Orifice è stato reso disponibile agli utenti, secondo ENBLE. L’azienda che hanno preso di mira non ha risposto, quindi hanno dato seguito alla loro minaccia, mettendo potenzialmente in pericolo tutti gli utenti di Windows 98. Le echos di quell’incidente possono essere udite nella violazione di Ashley Madison.

Gli hacker, a quanto pare, faranno sempre hacking. E in verità, potrebbe non esserci altro da aggiungere.

Ashley Madison è un fulmine per l’estremismo

Krebs, che ha originariamente riportato l’hack sul suo blog e ne ha parlato incessantemente da allora, non si è accontentato di concludere la storia di Ashley Madison con un semplice scrollarsi di spalle e, l’anno scorso, ha indagato nelle parti più squallide di Internet alla ricerca di indizi sui motivi dell’Impact Team.

Anche se non ha trovato nulla di conclusivo, Krebs ha trovato cose che sicuramente lasceranno un cattivo sapore in bocca a chiunque abbia lodato l’hack come un’azione morale.

Il tweet potrebbe essere stato eliminato

Utilizzando uno strumento di ricerca di cybercrime ed estremismo chiamato Flashpoint, Krebs ha scoperto vecchi post su Ashley Madison non tanto dal lato del cybercrime, ma dal lato dell’estremismo.

In particolare, un’inquietante animosità tra antisemiti su Internet nel 2015 nei confronti di Biderman (che, ricordiamo, era il CEO di Avid Life Media all’epoca). Descrive post che definiscono Ashley Madison come un “sito di incontri di proprietà ebraica che promuove l’adulterio” e scritti del prominente neo-nazista Andrew Anglin che si riferiscono a Biderman come il “Re ebreo dell’infedeltà”. Questi, e altri, commenti simili sono stati pubblicati nei mesi precedenti all’hack.

Biderman, per la sua parte, ha rassegnato le dimissioni in seguito alle fughe di notizie nel 2015. Ma il sito ha continuato senza Biderman, e un post promosso sul sito web del Chicago Reader in cui il sito è stato recensito favorevolmente, è uno dei risultati di Google che emerge in cima quando si cerca informazioni su Ashley Madison. La data di pubblicazione di quella recensione cambia regolarmente, facendola sembrare recente.

Utilizzare Ashley Madison in questi giorni, tuttavia, è probabilmente altrettanto imprudente come lo è sempre stato. Questo perché oltre alla ragione morale ovvia, sembra che la sua notorietà lo stia rendendo un magnete per schemi di ricatto. Un utente di Reddit afferma che una conversazione su Ashley Madison l’anno scorso ha preso una svolta quando hanno fornito all’altra parte il loro numero di telefono. Presto, hanno ricevuto “uno screenshot del mio Facebook, del Facebook di mia moglie e di alcuni parenti che mi dicono che vedranno tutto ciò che faccio a meno che non invii loro 3000 dollari in buoni regalo Nordstrom”.

Alcuni mesi dopo, lo stesso utente di Reddit ha riferito di non aver pagato i 3.000 dollari, ma che le loro informazioni non erano state rese pubbliche. Il ricattatore non può essere del Team Impact, perché le prove del passato suggeriscono che non fanno minacce vuote.