In un quello che viene definito un importante messaggio , pubblicato dal Chief Information Security Officer (CISO) Bob Lord, Yahoo getta una nuova, inquietante luce sullo stato della sicurezza dei suoi sistemi e su una breccia che ha compromesso un enorme numero di account utente. La falla ha messo a rischio 500 milioni di account con email Yahoo, rivela la società, e rappresenta un “tesoro” di informazioni sfruttabile dai cyber-criminali per condurre ulteriori attacchi in futuro.
Che i sistemi di Yahoo fossero stati violati lo si sapeva già dal mese di agosto , quando un ben noto guastatore conosciuto come Peace aveva messo in vendita 200 milioni di account sulla darknet; la conferma ufficiale della corporation parla invece di 500 milioni di utenti, e di un attacco contro il network interno avvenuto nel 2014 sebbene sia stato scoperto solo adesso .
La breccia nella rete di Yahoo ha messo a rischio informazioni a dir poco sensibili come identità fisiche degli utenti, indirizzi di posta elettronica, numeri telefonici, date di nascita, password – teoricamente protette tramite un algoritmo di hashing – domande e risposte di sicurezza (cifrate e non cifrate) in caso di recupero forzato della password; sarebbero invece mancanti dal database violato – e quindi ancora al sicuro – le password in chiaro, i dati delle carte di credito/debito e le informazioni sui conti bancari.
Prevedibilmente, non tutti i 500 milioni di account di cui parla Yahoo sono ancora attivamente utilizzati dai rispettivi utenti; resta però il rischio di violazione delle altre identità digitali in rete da compiere magari tramite l’impiego di password riutilizzate dagli utenti per siti Web diversi da quelli di Yahoo. In tal senso la corporation ha dispensato i classici consigli minuti per ridurre al minimo i rischi: cambiare password, verificare vecchie email, cambiare fornitore di webmail, usare l’autenticazione a doppio fattore, diffidare delle email sospette.
Restano infine da valutare le possibili conseguenze della mega-breccia sull’acquisizione di Yahoo da parte di Verizon, un affare da quasi 5 miliardi di dollari annunciato appena pochi giorni prima la messa in vendita degli account sulla darknet. Il provider statunitense concede a Yahoo l’onere della prova, e dice di voler valutare con attenzione gli effetti della violazione nell’interesse dei suoi clienti e azionisti.
Alfonso Maruccia