Ashley Madison, il sito fondato da Noel Biderman nel 2001 e che si definisce come l’agenzia leader mondiale per incontri discreti tra persone sposate, recentemente è stato ed è tuttora al centro delle attenzioni mediatiche.
L’hackeraggio del sito e il conseguente rilascio delle informazioni in merito alle identità dei milioni di iscritti ha causato notevoli imbarazzi e, cosa ben più grave, pare anche alcuni casi di suicidio.
Questo caso che riguarda il famoso sito di dating tra persone sposate può però servire da lezione per le aziende e i brand che operano anche in altri settori. Ecco alcuni punti chiave della vicenda.
Sei vulnerabile
Il peggior errore che un’azienda può compiere in tema di sicurezza è quello di ritenersi invulnerabile, o comunque “sicura” perché non interessante agli occhi di potenziali malintenzionati informatici.
Il primo passo è invece quello di accettare il fatto che ogni azienda è vulnerabile agli attacchi informatici.
La sicurezza deve andare oltre le buone intenzioni
Usare il protocollo HTTPS e inserire alcuni loghi sulla home page o nel footer del sito per rassicurare i clienti non è ovviamente sufficiente per mantenere livelli di sicurezza adeguati.
Mantenere aggiornati i software, applicare le patch di sicurezza e effettuare regolarmente audit e scansioni per verificare l’integrità dei sistemi sono tutte pratiche necessarie, ma non sempre sufficienti.
Più il sito è trafficato, più raccoglie dati personali degli utenti e soprattutto si occupa di transazioni finanziarie, più è necessario che la gestione della sicurezza diventi una competenza chiave, come il web development, la SEO o la gestione delle campagne PPC.
Dipendenti e collaboratori possono essere una seria minaccia
Anche se non è ancora chiaro chi siano i responsabili della diffusione dei dati personali degli utenti del sito Ashley Madison, pare che possa essere coinvolta una persona interna all’azienda, come un ex-dipendente o un fornitore.
È quasi banale sottolineare come i dipendenti e i collaboratori di un’azienda possano rappresentare una minaccia per la sicurezza.
Adottare dei sistemi di logging e registrazione degli accessi, permettere alle persone di accedere ai sistemi solo per compiere determinate operazioni e rimuovere i loro accessi quando non più necessari, sono alcune delle norme più basilari per la sicurezza.
Eppure in quanti casi vengono forniti accessi che rimangono poi attivi anche quando non sono più necessari, come ad esempio gli account degli ex-dipendenti o quelli utilizzati da consulenti esterni che magari non lavorano più per l’azienda.
Ingannare i clienti significa imbrogliare sé stessi
Ashley Madison offriva agli iscritti la possibilità di cancellare tutte le tracce relative all’utilizzo del sito dietro pagamento di una somma di denaro. Si trattava di un servizio aggiuntivo fornito dal sito alle persone che desideravano il massimo livello di discrezione.
Peccato però che tale servizio non manteneva quanto promesso. Infatti, pur cancellando alcune delle informazioni dell’utente, Ashley Madison conservava nel proprio database le coordinate GPS, la città, la nazione e la data di nascita e altri dati che potevano permettere di tracciare l’identità di un utente.
La mappa degli iscritti al sito Ashley Madison
Ashley Madison manteneva archiviati tali dati a solo scopo di analisi, anche se però in questo modo contravveniva alla promessa fatta alle persone che acquistavano il servizio di cancellazione dei dati.
Fornire qualcosa in meno (o qualcosa di diverso) rispetto a quanto promesso ai clienti equivale a ingannarli.
La legge e le ricompense non bastano
Ashley Madison sta collaborando con le autorità per identificare i responsabili dell’attacco informatico e ha offerto anche una ricompensa per chi fornirà informazioni che porteranno all’arresto dei responsabili.
Tutto questo non permetterà però di arrestare o cancellare i danni causati da questo attacco.
L’assistenza ai clienti conta anche quando non puoi aiutarli
Ashley Madison può fare veramente poco per arginare i problemi causati ai propri iscritti che sono stati vittime di questo attacco informatico. Questo però non significa che debba lasciarli soli.
Pare infatti che Ashley Madison abbia comunicato veramente poco con i propri clienti e che le persone che hanno provato a contattare l’azienda non siano state in grado di farlo.
Sicuramente il modo di gestire una crisi come questa può influire sul numero di persone che potrebbero essere disposte a dare all’azienda una seconda chance.
Un attacco informatico può mettere in pericolo la vita di un’azienda
Avid Life Media, l’azienda che gestisce Ashley Madison, nel 2014 ha fatturato circa 115 milioni di dollari dal sito e pare che fossero in corso i preparativi per un’IPO (Initial Public Offering) ossia la quotazione in borsa.
Dopo la catastrofe che ha colpito l’azienda e i milioni di dollari richiesti come risarcimento, è probabile che sia la IPO sia il futuro dell’azienda siano in pericolo.
È chiaro che per realtà come Ashley Madison, data la natura dei loro servizi, un attacco informatico può avere effetti devastanti. Questo però non significa che aziende che operano in settori più tradizionali non siano a rischio.
Liberamente tradotto da What brands can learn from the Ashley Madison hack.