Ecco come gli hacker russi sono entrati in centinaia di milioni di account Yahoo

Spie russe e alcuni team di hacker avrebbero collaborato per irrompere nelle centinaia di milioni di account Yahoo violati negli scorsi anni. A dirlo è il Dipartimento di Giustizia statunitense all'interno di un annuncio di mercoledì scorso. La violazione di cui si parla è quella annunciata negli scorsi mesi riguardante oltre 500 milioni di account degli utenti che avevano riposto la propria fiducia nel colosso americano. Una delle più grandi violazioni di tutti i tempi.

Sul documento si legge che i team di hacker sono riusciti ad entrare in possesso di una directory privata contenente i nomi utente degli account Yahoo, le password cifrate, ed altre informazioni. In seguito hanno utilizzato i dati raccolti per ingannare i sistemi del servizio in modo che considerassero come già collegato il browser web e con il log-in già effettuato. Una tecnica sicuramente molto efficiente che non rendeva necessaria la decifratura di alcuna password.

Il trucco prevedeva la presa di mira di account specifici creando credenziali false per prenderne il possesso senza ottenere in alcun modo quelle reali, una pratica che è abbastanza routinaria nel mondo dell'hacking, ma che nel caso di Yahoo è risultata sufficiente per scardinare le difese del servizio. L'atto di accusa del Dipartimento della Difesa americano fa riferimento ad un'indagine condotta dalla FBI, che sostiene che alla base di tutto c'è il furto del database di utenti del servizio.

Un'operazione portata a compimento dal noto hacker Alexsey Alexseyevich Belan, che avrebbe ottenuto l'accesso e quindi rubato "almeno una porzione" del database. Il file è da intendersi come una sorta di Pagine Gialle del servizio online: al suo interno infatti troviamo nomi utente, password cifrate e una serie di informazioni sensibili appartenenti agli utenti del servizio. È un file segreto e assolutamente delicato, e non nasce per essere accessibile al pubblico.

La parte più delicata del database, nella fattispecie, era quella relativa alle "informazioni richieste per creare manualmente i cookie di autenticazione per i web browser", recita il documento. Quando si visita un sito web sul computer viene registrato un file, chiamato cookie, che contiene alcune informazioni sullo stesso utente, se è già stato effettuato il log-in e se sì con quale account. Quando si torna sul sito, il servizio controlla la presenza del cookie e verifica se è scaduto.

Molti siti possono accettare accessi automatizzati attraverso il cookie per un periodo che può durare anche 30 giorni, e solo dopo questo periodo di tempo il cookie può essere considerato scaduto e bisognerà compiere nuovamente l'accesso. In molti casi, se il cookie non è scaduto, l'accesso è garantito senza la richiesta di alcuna credenziale perché, di norma, il servizio e il computer possono stabilire se si sta utilizzando lo stesso computer e lo stesso browser.

Il cookie induce a far credere al servizio che l'utente ha ancora l'accesso disponibile. Spiegato in breve nel caso di Yahoo gli hacker hanno trovato la ricetta per forgiare i cookie del servizio grazie ai dati raccolti nel database trafugato. In questo modo potevano creare sostanzialmente qualsiasi tipo di cookie di cui avessero bisogno falsificando le informazioni di accesso per ogni singolo account. Per violarne uno di quelli presenti nel database, quindi, non era neanche necessaria la password.

Utilizzando questo metodo li hacker hanno ottenuto l'accesso di almeno 6.500 account estremamente mirati, inclusi quelli di giornalisti e politici russi, oltre ad aver utilizzato oltre 30 milioni di account per diffondere campagne di spam in modo da generare proventi dall'atto criminoso.