Alfonso Maruccia

Yahoo, mega-breccia di sostanza

Il colosso statunitense conferma di essere stato attaccato da ignoti cyber-criminali ben foraggiati, calcolando in mezzo miliardo gli utenti a rischio. Le indagini sono ancora in corso, i consigli su come comportarsi sempre i soliti

Roma - In un quello che viene definito un importante messaggio, pubblicato dal Chief Information Security Officer (CISO) Bob Lord, Yahoo getta una nuova, inquietante luce sullo stato della sicurezza dei suoi sistemi e su una breccia che ha compromesso un enorme numero di account utente. La falla ha messo a rischio 500 milioni di account con email Yahoo, rivela la società, e rappresenta un "tesoro" di informazioni sfruttabile dai cyber-criminali per condurre ulteriori attacchi in futuro.

Che i sistemi di Yahoo fossero stati violati lo si sapeva già dal mese di agosto, quando un ben noto guastatore conosciuto come Peace aveva messo in vendita 200 milioni di account sulla darknet; la conferma ufficiale della corporation parla invece di 500 milioni di utenti, e di un attacco contro il network interno avvenuto nel 2014 sebbene sia stato scoperto solo adesso.

La breccia nella rete di Yahoo ha messo a rischio informazioni a dir poco sensibili come identità fisiche degli utenti, indirizzi di posta elettronica, numeri telefonici, date di nascita, password - teoricamente protette tramite un algoritmo di hashing - domande e risposte di sicurezza (cifrate e non cifrate) in caso di recupero forzato della password; sarebbero invece mancanti dal database violato - e quindi ancora al sicuro - le password in chiaro, i dati delle carte di credito/debito e le informazioni sui conti bancari.
Prevedibilmente, non tutti i 500 milioni di account di cui parla Yahoo sono ancora attivamente utilizzati dai rispettivi utenti; resta però il rischio di violazione delle altre identità digitali in rete da compiere magari tramite l'impiego di password riutilizzate dagli utenti per siti Web diversi da quelli di Yahoo. In tal senso la corporation ha dispensato i classici consigli minuti per ridurre al minimo i rischi: cambiare password, verificare vecchie email, cambiare fornitore di webmail, usare l'autenticazione a doppio fattore, diffidare delle email sospette.

Restano infine da valutare le possibili conseguenze della mega-breccia sull'acquisizione di Yahoo da parte di Verizon, un affare da quasi 5 miliardi di dollari annunciato appena pochi giorni prima la messa in vendita degli account sulla darknet. Il provider statunitense concede a Yahoo l'onere della prova, e dice di voler valutare con attenzione gli effetti della violazione nell'interesse dei suoi clienti e azionisti.

Alfonso Maruccia
Notizie collegate
  • AttualitàUtenti Yahoo in vendita sulla darknetIn vedita nell'underground telematico 200 milioni di account della storica piattaforma acquisita da Verizon. Prezzo del pacchetto modico e venditore verificato. Dalle prime verifiche i dati risultano autentici
  • AttualitàMega-brecce, il passato è il presenteIn pochi giorni si concentrano i leak di milioni e milioni di account telematici, quasi tutti connessi all'oramai famigerato 2012. Anche Libero Mail è stato violato, sebbene la società rassicuri sulla sicurezza delle password
  • AttualitàYahoo sarà tutta di VerizonL'operatore telefonico punta a monetizzare l'enorme audience del vecchio search in viola. Si tratta di un'operazione tutta votata all'advertising
85 Commenti alla Notizia Yahoo, mega-breccia di sostanza
Ordina
  • per un futuro migliore fatti una tisana al cianuro
    non+autenticato
  • Chi ci guadagna da Yahoo piegata?
    Basta farsi questa domanda per avere un'idea di chi e perché...

    Anche questa faccenda di scoprire dopo mesi il wreck e coprirlo per altri mesi suona davvero strana...

    Gomblotto?
    Forse...
    non+autenticato
  • - Scritto da: yuhaa
    > Chi ci guadagna da Yahoo piegata?
    qualcuno che vuole farsi yahoo
    non+autenticato
  • ma ti rendi conto di essere ridicolo?
    non+autenticato
  • Per l'ennesima volta!

    Meditate gente meditate!

    Rotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • Ennesimo servizio cloud bucato, con dati sensibili degli utenti in giro per il web. Io continuo a sostenere che il cloud va bene per salvare la lista della spesa o per condividere la classifica del torneo di calcetto. Stop.

    Quello che mi chiedo è: per gli accaniti sostenitori del cloud, quanti di questi casi devono accadere prima che capiscano il loro errore? Altri 10, 100, 1000?
    non+autenticato
  • ups: le mani più sicure dopo le vostre.
    cloud: i tuoi dati nelle mani altrui.
    non+autenticato
  • - Scritto da: mela marcia
    > Ennesimo servizio cloud bucato, con dati
    > sensibili degli utenti in giro per il web. Io
    > continuo a sostenere che il cloud va bene per
    > salvare la lista della spesa o per condividere la
    > classifica del torneo di calcetto.
    > Stop.
    >
    > Quello che mi chiedo è: per gli accaniti
    > sostenitori del cloud, quanti di questi casi
    > devono accadere prima che capiscano il loro
    > errore? Altri 10, 100,
    > 1000?
    bravo, torna all'anno 2000, allora e con la tua brava chiavettina usb con cui portarte appresso i tuoi file
    non+autenticato
  • - Scritto da: mela fonino
    > bravo, torna all'anno 2000, allora e con la tua
    > brava chiavettina usb con cui portarte appresso i
    > tuoi file

    Oppure un miniPC a bassissimo consumo, con Linux, gestito da me, coi dati al sicuro nelle mie mani, accessibile via SFTP. O un NAS. Qualsiasi soluzione è migliore che lasciare i propri dati in sistemi che prima o poi vengono bucati.
    non+autenticato
  • - Scritto da: mela marcia
    > - Scritto da: mela fonino
    > > bravo, torna all'anno 2000, allora e con la
    > tua
    > > brava chiavettina usb con cui portarte
    > appresso
    > i
    > > tuoi file
    >
    > Oppure un miniPC a bassissimo consumo, con Linux,
    > gestito da me, coi dati al sicuro nelle mie mani,
    > accessibile via SFTP. O un NAS. Qualsiasi
    > soluzione è migliore che lasciare i propri dati
    > in sistemi che prima o poi vengono
    > bucati.
    il che presuppone di lasciate minipc e router acceso h24 a casa tua che si traduce in maggiori consumi in bolletta. Aoooo svegliaaaa, siamo nel 2016
    non+autenticato
  • - Scritto da: mela fonino
    > il che presuppone di lasciate minipc e router
    > acceso h24 a casa tua che si traduce in maggiori
    > consumi in bolletta. Aoooo svegliaaaa, siamo nel
    > 2016

    Router + Mini PC accesi: 3 euro al mese con MC

    I miei dati nelle mie mani: non ha prezzo!
    non+autenticato
  • - Scritto da: mela fonino
    > - Scritto da: mela marcia
    > > - Scritto da: mela fonino
    > > > bravo, torna all'anno 2000, allora e
    > con
    > la
    > > tua
    > > > brava chiavettina usb con cui portarte
    > > appresso
    > > i
    > > > tuoi file
    > >
    > > Oppure un miniPC a bassissimo consumo, con
    > Linux,
    > > gestito da me, coi dati al sicuro nelle mie
    > mani,
    > > accessibile via SFTP. O un NAS. Qualsiasi
    > > soluzione è migliore che lasciare i propri
    > dati
    > > in sistemi che prima o poi vengono
    > > bucati.
    > il che presuppone di lasciate minipc e router
    > acceso h24 a casa tua che si traduce in maggiori
    > consumi in bolletta. Aoooo svegliaaaa, siamo nel
    > 2016

    Lo sappiamo, lo sappiamo purtroppo che siamo nel 2016! E arriveremo al 2099 e voi gente 'moderna' non avrete ancora capito cosa sia la VERA modernità.Imbarazzato
    non+autenticato
  • Naturalmente il miniPC si trova in locale blindato con sorveglianza armata 24h/24h
    non+autenticato
  • - Scritto da: mela fonino
    > - Scritto da: mela marcia
    > > Ennesimo servizio cloud bucato, con dati
    > > sensibili degli utenti in giro per il web. Io
    > > continuo a sostenere che il cloud va bene per
    > > salvare la lista della spesa o per
    > condividere
    > la
    > > classifica del torneo di calcetto.
    > > Stop.
    > >
    > > Quello che mi chiedo è: per gli accaniti
    > > sostenitori del cloud, quanti di questi casi
    > > devono accadere prima che capiscano il loro
    > > errore? Altri 10, 100,
    > > 1000?
    > bravo, torna all'anno 2000, allora e con la tua
    > brava chiavettina usb con cui portarte appresso i
    > tuoi
    > file

    io faccio così infatti, non spreco banda a caricare e scaricare sempre le stesse menate
    non+autenticato
  • - Scritto da: mela marcia
    > Quello che mi chiedo è: per gli accaniti
    > sostenitori del cloud, quanti di questi casi
    > devono accadere prima che capiscano il loro
    > errore? Altri 10, 100, 1000?

    Il problema non è la sicurezza o meno del cloud, ma la fiducia che ci riponi o ti ci fanno riporre. Perchè io sono un sostenitore accanito, ma non ci metto certo dati sensibili, o se ce li metto provvedo a criptarli con tool di terze parti.

    E non basta certo il "CEO-di-turno" che sbandiera l'impegno più forte di sempre nella sicurezza dell'utente, a farmi cambiare idea sul suo prodotto.
  • - Scritto da: bradipao
    > non ci metto certo dati sensibili, o se ce li
    > metto provvedo a criptarli con tool di terze
    > parti.

    Criptare i dati è sicuramente molto meglio che caricarli in chiaro. Ma è sempre come mettere una cassaforte nella casa di un ladro, prima o poi la serratura viene forzata.
    non+autenticato
  • Yahuu & company, ovvero come ti gestisco la clientela versione 2.x ma anche 3.x...

    Il sevizio è gratis, così il successivo aggiornamento automatico del TOS (vedi paragrafo: da servizio a ''servizietto'') e si attua concretamente tramite una serie di ''bonus'' anch'essi ''gratuiti''. Nel dettaglio:

    a) Ti profiliamo a scopi pubblicitari...ma è per il tuo bene eppoi è indolore (spam mirato a parte)

    b) Se la nostra email (perché è nostra, non tua) contiene spunti di riflessione interessanti (ad es. strategie aziendali riservate) ci riserviamo il dovere di ''tutelare'' questi dati con particolare attenzione

    c) Se un qualsiasi Ente governativo americano a tre lettere è intenzionato ad accedere ai tuoi dati, non preoccuparti: c'è tutta una procedura estremamente laboriosa e perfettamente ''oliata'' per limitare e 'scorreggiare' questo tipo di richieste in modo da tutelarti, specie se non sei americano! infatti, dal momento della richiesta del Governo al momento in cui la richiesta viene approvata passano non meno di 24 minuti! quindi, massima considerazione dei tuoi dati e della tua 'spryvacy'

    d) L'integrità online dei tuoi dati è inoltre garantita grazie ad una serie di backup ridondanti di terze parti (per lo più società collegate con XXX) che vengono effettuati in tempo reale! nota: al posto di XXX inserire 3 lettere a caso comprese tra le seguenti: A N S

    e) La nostra 'mission' è quella di mantenere i tuoi dati al sicuro: il nostro marketing è in grado di gestire qualsiasi attacco proveniente dall'esterno e la conferma della qualità vincente delle soluzioni anti-intrusione adottate dalla ns. Società le puoi trovare dappertutto, persino dal fruttivendolo nel reparto delle cipolle!

    f) E per finire...i numeri del nostro business parlano da soli: i nostri servizietti hanno già ampiamente soddisfatto ben 500 milioni di utenti!

    Entra anche tu a far parte della grande comunità Yahuu presente sul Deep Web! it's free! Occhiolino
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)