Oltre 1 miliardo di account Yahoo hackerati: la società rivela nuova violazione

Oltre 1 miliardo di account Yahoo hackerati: la società rivela nuova violazione

Yahoo ha annunciato una nuova breccia sul proprio servizio, che ha condotto al furto di oltre un miliardo di account degli utenti. L'aggressione appare totalmente slegata da quella rivelata lo scorso settembre

di pubblicata il , alle 09:37 nel canale Sicurezza
Yahoo
 

Ancora gravi problemi di sicurezza per Yahoo che dopo l'enorme violazione confermata a settembre ne ha rivelato una ancora più preoccupante, almeno dal punto di vista numerico. Il nuovo hack sembra essere totalmente slegato da quello annunciato negli scorsi mesi ed è datato agosto 2013: fra i dati trafugati agli utenti del servizio troviamo nomi, indirizzi e-mail, numeri telefonici e hash delle password, mentre non sembrerebbero coinvolte le informazioni per i pagamenti raccolte all'interno del database.

A rivelare l'amara novità è stato Bob Lord sulla pagina Tumblr di Yahoo: "In base ad analisi approfondite di dati ricevuti a novembre riteniamo che ad agosto 2013 un utente di terze parti non autorizzato abbia rubato dati associati ad oltre un miliardo di account utente", ha scritto il Chief Information Security Officer di Yahoo. "Non siamo stati in grado di identificare chi ha effettuato l'intrusione associata al furto. Crediamo tuttavia che quanto accaduto sia probabilmente distinto dall'incidente che avevamo rivelato lo scorso 22 settembre 2016".

Gli hash delle password erano salvate attraverso l'algoritmo MD5, il che non rende la notizia meno preoccupante. Si tratta infatti di una tecnologia che già nel 2013 era facilmente aggirabile con i criminali che molto probabilmente sono stati in grado di accedere ad una stragrande maggioranza di password, fra quelle rubate, in chiaro. Durante le indagini Yahoo ha inoltre rilevato nuove incursioni di significativa importanza contro il sistema di cookie adottato per identificare gli utenti che hanno effettuato il log-in all'interno dei servizi offerti dalla società.

Nel report leggiamo che un gruppo separato di aggressori ha ottenuto l'accesso al codice sorgente proprietario di Yahoo utilizzando lo stesso codice per "forgiare" cookie capaci di aggirare le procedure di identificazione e forzare il log-in sul servizio. Quest'ultimo caso sembra invece legato alla violazione rivelata lo scorso settembre, che probabilmente è stata eseguita su un ordine proveniente da governi non meglio identificati. Le informazioni violate sono state invalidate dalla compagnia, che si premurerà di informare tutti gli utenti coinvolti nel prossimo futuro.

Il furto dei dati del miliardo e oltre di account di Yahoo potrebbe estendersi però anche su altri servizi, dal momento che spesso parecchi utenti utilizzano (impropriamente, lo ripetiamo per l'ennesima volta) le stesse credenziali d'accesso su parecchi siti differenti. In questi casi è bene modificare non solo le credenziali di Yahoo (incluse le domande di sicurezza), ma anche quelle utilizzate sugli altri servizi. Per maggiori informazioni sulle metodiche da applicare per proteggersi Yahoo consiglia la lettura del portale Safety Center.

A tutti gli utenti coinvolti la compagnia consiglia inoltre di effettuare alcuni passi per assicurarsi un buon livello di sicurezza per il prossimo futuro: modificare le password e domande/risposte di sicurezza su tutti gli account su cui sono state le stesse credenziali di Yahoo, indagare sul proprio account per verificare attività sospette, prestare attenzione a richieste di informazioni personali da parte di terze parti, evitare di cliccare su collegamenti o scaricare allegati da e-mail sospette, utilizzare la Yahoo Account Key, strumento che elimina la necessità della password.

Certo è che considerata la data dell'esecuzione dell'hack le pratiche di sicurezza consigliate sembrano ormai sterili dal momento che chi ha eseguito il furto ha già in possesso tutte le informazioni di cui aveva bisogno. Per quanto sterili, tuttavia, sono necessarie dal momento che impediranno intrusioni future da parte di utenti non autorizzati sul vostro account. Lo impediranno, almeno, fino al prossimo hack.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

7 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Portocala15 Dicembre 2016, 10:12 #1
Ce lo dicono dopo 3 anni, aaaaaaaaaaaaaaaaa beh ... Da allora avrò cambiato la password almeno 5 volte.
s-y15 Dicembre 2016, 10:42 #2
yahole

ad ogni modo c'e' smepre la questione dell'opa in corso (credo ancora non sono aggiornato) che potrebbe anche incidere chissa'
M4R1|<15 Dicembre 2016, 10:44 #3
Cioe' dopo 3 anni e mezzo dicono che si sono fatti rubare 1 miliardo di password ???
Sono dei pezzenti!
demon7715 Dicembre 2016, 11:17 #4
cialtronaggine oltre il limite del ridicolo.
E' una bagnarola che affonda. Saltare giù fin che si può è la cosa più saggia.
rockrider8116 Dicembre 2016, 09:34 #5
Per andare dove ?
Nelle braccia dell'NSA ? :-)
Pegatorn16 Dicembre 2016, 09:56 #6
Ma solo Google se ti colleghi da un PC diverso dal solito ti chiede anche il numero di scarpe oltre alla verifica con 200 passaggi?
Cioè...questi di Yahoo come caxxo gestiscono gli account?
Versione pene di quadrupede?
bio.hazard16 Dicembre 2016, 10:30 #7
Originariamente inviato da: rockrider81
Per andare dove ?
Nelle braccia dell'NSA ? :-)


Anche perchè se avevi un account su Yahoo nelle sue braccia già ci eri...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^