L’intrusione è stata resa pubblica nello scorso mese di settembre: una intrusione che ha coinvolto mezzo miliardo di utenti, una intrusione di cui Yahoo avrebbe appreso con un ritardo di due anni. Ma nel 2014 Sunnyvale potrebbe aver avuto il sentore di quanto stesse accadendo.
Il sospetto che serpeggia nelle gerarchie di Yahoo si rivela in una comunicazione alla US Securities and Exchange Commission. Nel dare conto dei dettagli dell'”incidente di sicurezza” e nel valutarne l’impatto economico, Sunnyvale ricostruisce il dipanarsi dei fatti e della progressiva acquisizione della consapevolezza dell’accaduto: nel mese di luglio 2016, il rinvenimento dei dati dei propri utenti, le indagini con le quali si sono ripercorsi gli accessi non autorizzati alla propria infrastruttura, l’individuazione della violazione del 2014 e la comunicazione della breccia al pubblico nel mese di settembre. Nel 2014 l’azienda aveva già rilevato l’intrusione da parte di un soggetto supportato da autorità statali, lo stesso soggetto al quale si è imputata la responsabilità nella breccia comunicata a settembre? Le indiscrezioni suggeriscono che Yahoo avesse già rilevato l’attacco , ma non avesse un quadro sufficientemente completo della situazione per comprendere ciò che stava accadendo.
Sarà un’indagine portata avanti da esperti di computer forensics indipendenti, si spiega nella comunicazione alla SEC, a fare luce sulla questione e a far emergere le responsabilità di chi eventualmente abbia taciuto .
Nella descrizione del quadro offerta alle autorità statunitensi, Yahoo dispensa poi ulteriori dettagli riguardo all’attacco subito. Conferma che i dati sottratti includono nomi, indirizzi email, numeri di telefono, dettagli anagrafici, password protette da hash e domande e risposte di sicurezza in alcuni casi non cifrate. Lo state-sponsored actor a cui si attribuisce l’attacco non avrebbe raggiunto i sistemi che gestiscono informazioni legate ai pagamenti degli utenti Yahoo, e “non ci sono prove che sia attualmente attivo nella rete dell’azienda o che vi possa accedere”. Ma in passato, questo quanto sta emergendo dalle indagini alimentando i dubbi degli osservatori , “un attaccante, che si ritiene essere lo stesso responsabile dell’incidente di sicurezza, ha creato dei cookie che avrebbero potuto consentirgli di aggirare la necessità di inserire una password per accedere a certi account degli utenti”.
Sunnyvale, nel soppesare le conseguenze della breccia, spiega alle autorità di aver stimato spese per un milione di dollari nel trimestre concluso a settembre e di non aver rilevato “alcun impatto materiale negativo sul business”, almeno per il momento. Nel prossimo futuro, è invece probabile che la breccia imprima un solco sui bilanci : un solco ancora “non calcolabile”, ammette Yahoo, ricordando che le indagini sono lungi dall’essere concluse e che le class action incombono , con le 23 denunce depositate fino ad ora dagli utenti e con le potenziali rivendicazioni di investitori e partner. Senza considerare che l’ acquisizione da parte di Verizon potrebbe essere rinegoziata, quanto meno nel valore dell’operazione .
Ma le turbolenze potrebbero non essere esaurite: l’azienda aggiunge che nei giorni scorsi le autorità hanno iniziato a sottoporle certe informazioni fornite da un non meglio precisato hacker che le attribuisce a utenti di Yahoo. Si è aperto dunque un nuovo fronte per le indagini , le cui conseguenze sono ancora da valutare.
Gaia Bottà