Yahoo conferma ufficialmente: 500 milioni di account compromessi

Mediante un comunicato stampa ufficiale Yahoo ha confermato una violazione dei suoi sistemi informativi avvenuta nell'ultima parte del 2014 che ha portato alla sottrazione di informazioni legate agli account di 500 milioni di utenti. La società afferma di credere che la violazione sia stata compiuta ad opera di un attore supportato da un governo. Yahoo consiglia agli utenti di cambiare immediatamente la password del proprio account se non è stata mai cambiata dal 2014.

"Le informazioni degli account potrebbero comprendere nomi, indirizzi email, numeri di telefono, date di nascita, password in hash (la maggior parte delle quali con bcrypt) e, in alcuni casi, domande di sicurezza criptate o non criptate" si legge nel comunicato. Yahoo comunque precisa che i dati sottratti non includono "password in chiaro, dati di pagamento o informazioni su conti bancari".

Non molte settimane fa era circolata la notizia della vendita di 200 milioni di account di Yahoo sottratti dall'hacker "Pace", vicenda per la quale Yahoo aveva avviato alcune indagini ma non aveva ritenuto necessario consigliare agli utenti di un cambio di password. Con l'annuncio di oggi viene però data un'altra dimensione al problema che, per altro, non è ancora chiaro in quale misura sia legato alle azioni di "Pace" o rappresenti una violazione completamente indipendente.

La società di Sunnyvale ha dichiarato di essere al lavoro con le autorità e le forze dell'ordine sulla vicenda, ma non ha fornito alcun elemento a supporto della tesi secondo la quale ci sarebbe la mano di un governo estero nella violazione.

La notizia ha tutte le sfumature di una nota stonata nell'accordo di acquisizione confermato negli scorsi mesi che vede l'operatore di telecomunicazioni Verizon andare ad acquisire gli asset del core business di Yahoo, con un'operazione del valore di 4,83 miliardi di dollari. L'accordo era già stato votato dai consigli di amministrazione delle due società e dagli azionisti ed è in attesa del via libera delle autorità di garanzia del mercato. Quanto scoperto potrebbe però dare a Verizon l'opportunità di pretendere un nuovo negoziato sul prezzo dell'acquisizione.

Cosa possiamo consigliare di fare, quindi, a chi ha un account Yahoo? Oltre all'ovvio aggiornamento della password (è da fare immediatamente, anche se le informazioni trafugate sono in circolazione da tempo: questi dati non è detto che finiscano subito nelle mani di malintenzionati e/o vengano utilizzati, spesso sono lasciati a se stessi prima che qualcuno li venda o li utilizzi) sarebbe bene abilitare fin da subito l'autenticazione a più fattori, che riduce le possibilità di un'intrusione non autorizzata nel nostro account. Infine è bene controllare scrupolosamente le attività del proprio account anche per i mesi trascorsi e in particolare verificare se dalla casella di posta in uscita siano stati inviati messaggi e-mail mai scritti.