Oltre 1 miliardo di account Yahoo hackerati: la società rivela nuova violazione

Ancora gravi problemi di sicurezza per Yahoo che dopo l'enorme violazione confermata a settembre ne ha rivelato una ancora più preoccupante, almeno dal punto di vista numerico. Il nuovo hack sembra essere totalmente slegato da quello annunciato negli scorsi mesi ed è datato agosto 2013: fra i dati trafugati agli utenti del servizio troviamo nomi, indirizzi e-mail, numeri telefonici e hash delle password, mentre non sembrerebbero coinvolte le informazioni per i pagamenti raccolte all'interno del database.

A rivelare l'amara novità è stato Bob Lord sulla pagina Tumblr di Yahoo: "In base ad analisi approfondite di dati ricevuti a novembre riteniamo che ad agosto 2013 un utente di terze parti non autorizzato abbia rubato dati associati ad oltre un miliardo di account utente", ha scritto il Chief Information Security Officer di Yahoo. "Non siamo stati in grado di identificare chi ha effettuato l'intrusione associata al furto. Crediamo tuttavia che quanto accaduto sia probabilmente distinto dall'incidente che avevamo rivelato lo scorso 22 settembre 2016".

Gli hash delle password erano salvate attraverso l'algoritmo MD5, il che non rende la notizia meno preoccupante. Si tratta infatti di una tecnologia che già nel 2013 era facilmente aggirabile con i criminali che molto probabilmente sono stati in grado di accedere ad una stragrande maggioranza di password, fra quelle rubate, in chiaro. Durante le indagini Yahoo ha inoltre rilevato nuove incursioni di significativa importanza contro il sistema di cookie adottato per identificare gli utenti che hanno effettuato il log-in all'interno dei servizi offerti dalla società.

Nel report leggiamo che un gruppo separato di aggressori ha ottenuto l'accesso al codice sorgente proprietario di Yahoo utilizzando lo stesso codice per "forgiare" cookie capaci di aggirare le procedure di identificazione e forzare il log-in sul servizio. Quest'ultimo caso sembra invece legato alla violazione rivelata lo scorso settembre, che probabilmente è stata eseguita su un ordine proveniente da governi non meglio identificati. Le informazioni violate sono state invalidate dalla compagnia, che si premurerà di informare tutti gli utenti coinvolti nel prossimo futuro.

Il furto dei dati del miliardo e oltre di account di Yahoo potrebbe estendersi però anche su altri servizi, dal momento che spesso parecchi utenti utilizzano (impropriamente, lo ripetiamo per l'ennesima volta) le stesse credenziali d'accesso su parecchi siti differenti. In questi casi è bene modificare non solo le credenziali di Yahoo (incluse le domande di sicurezza), ma anche quelle utilizzate sugli altri servizi. Per maggiori informazioni sulle metodiche da applicare per proteggersi Yahoo consiglia la lettura del portale Safety Center.

A tutti gli utenti coinvolti la compagnia consiglia inoltre di effettuare alcuni passi per assicurarsi un buon livello di sicurezza per il prossimo futuro: modificare le password e domande/risposte di sicurezza su tutti gli account su cui sono state le stesse credenziali di Yahoo, indagare sul proprio account per verificare attività sospette, prestare attenzione a richieste di informazioni personali da parte di terze parti, evitare di cliccare su collegamenti o scaricare allegati da e-mail sospette, utilizzare la Yahoo Account Key, strumento che elimina la necessità della password.

Certo è che considerata la data dell'esecuzione dell'hack le pratiche di sicurezza consigliate sembrano ormai sterili dal momento che chi ha eseguito il furto ha già in possesso tutte le informazioni di cui aveva bisogno. Per quanto sterili, tuttavia, sono necessarie dal momento che impediranno intrusioni future da parte di utenti non autorizzati sul vostro account. Lo impediranno, almeno, fino al prossimo hack.