Cerca nel blog

2016/09/23

Yahoo, oltre 500 milioni di password rubate. Due anni fa, lo ammettono adesso

È probabilmente il più grande furto di dati mai rivelato: Yahoo ha annunciato ieri di aver subito la sottrazione di dati riguardanti “almeno 500 milioni di account”: i dati rubati potrebbero includere “nomi, indirizzi di mail, numeri di telefono, date di nascita, password in formato hash [...] domande e risposte di sicurezza non cifrate”.

Come se non bastasse, il furto è avvenuto due anni fa, verso la fine del 2014, e viene annunciato soltanto adesso, proprio nel momento in cui Yahoo sta cercando di farsi acquistare dall’operatore di telecomunicazioni statunitense Verizon.

Per Yahoo è un’umiliazione totale, e vale poco il tentativo di giustificarsi agli occhi del pubblico generico incolpando del furto “entità sostenute da governi”, fra l’altro senza presentare alcuna prova di quest’accusa, Invocare potenti nemici di stato è un modo per insinuare che non è colpa di Yahoo perché contro certi attacchi non si può fare nulla. Ma qui non è solo questione di essere stati attaccati: c'è anche il fatto di non aver scoperto e annunciato il furto per due anni, nonostante circolassero da qualche tempo voci in proposito. Una dimostrazione di incompetenza piuttosto ineludibile.

Cosa fare se avete un account Yahoo?

– prima di tutto, cambiate password e usatene una lunga e complessa, che sia diversa da quelle usate altrove;
– se avete usato la stessa password per altri siti, cambiatela anche in questi altri siti;
attivate la verifica in due passaggi, che vi manda sullo smartphone un codice di sicurezza supplementare se qualcuno tenta di entrare nel vostro account da un dispositivo non vostro;
fate attenzione a eventuali mail, messaggi o telefonate di soggetti che cercano di autenticarsi dicendo di sapere il vostro nome, cognome, data di nascita e numero di telefono: potrebbero essere truffatori.

Per chi si chiede se i dati di un account possono essere utili a governi ostili o a criminali se non sono accompagnati da password: sì, perché consentono tentativi di phishing mirato molto credibili. E considerato che Yahoo è usato prevalentemente da persone meno giovani, il bottino potrebbe essere particolarmente ricco di profili di persone abbienti e di dipendenti governativi.


Fonti aggiuntive: Motherboard, Graham Cluley.

Nessun commento: