Diversamente da quanto inizialmente ritenuto, l’attacco informatico sferrato nei confronti di Yahoo è stato più ampio del previsto. Inoltre, è avvenuto in tempi molto più recenti rispetto a quanto ipotizzato.
Dopo una serie di indagini, i tecnici di Yahoo hanno confermato che l’attacco alla rete interna della società è stato posto in essere a fine 2014.
L’aggressione ha portato alla sottrazione dei dati relativi ad almeno 500 milioni di account utente e, secondo le prime analisi di Yahoo, sarebbe stato realizzato con l’aiuto di sovvenzioni statali.
Un attacco in grande stile che ha permesso ai cracker di razziare nomi e cognomi, indirizzi email, numeri telefonici, date di nascita, password cifrate (la maggior parte delle quali con l’algoritmo bcrypt) e, in alcuni casi, le domande di sicurezza (sia in formato cifrato che non).
Yahoo sta comunicando a tutti i suoi utenti affetti dal problema quanto accaduto (vedere questa pagina).
L’azienda sta invitando alla modifica della password associata al proprio account nonché, ove possibile, ad attivare l’autenticazione a due fattori.
A tal proposito, l’azienda guidata da Marissa Mayer sta caldeggiando l’impiego di Yahoo Account Key, un meccanismo che permette di usare il proprio dispositivo mobile come strumento per autorizzare ogni accesso all’account Yahoo.
Maggiori informazioni sull’accaduto sono state pubblicate a questo indirizzo.
L’aggressione subita da Yahoo comincia ad assumere contorni davvero rilevanti.
Yahoo sostiene che le password non possono essere riportate “in chiaro” da parte dei criminali informatici: l’algoritmo bcrypt è infatti una funzione di hashing che lavora in un unico senso e che quindi non può essere invertita.
Oltre a usare una sequenza casuale di bit insieme con una password come input (il cosiddette “sale”, salt in inglese), bcrypt è una funzione adattiva così da essere resistente ad attacchi brute force anche con capacità computazionale crescente.
Yahoo è quindi sicura che il contenuto degli account sia protetto. Va detto, però, che il database degli utenti di Yahoo, con date di nascita e indirizzi email, è già di per sé un tesoro di enorme valore per i criminali.
Cosa devono fare gli utenti di Yahoo?
Sophos, azienda leader nelle soluzioni per la sicurezza informatica, ha voluto riassumere gli interventi che gli utenti di Yahoo dovrebbero immediatamente porre in essere:
1) Cambiare subito la password di accesso all’account Yahoo.
2) Qualora la stessa password fosse utilizzata anche su altri account, modificare anche tali credenziali. Si tratta, questa, di una pratica assolutamente sconsigliata (vedere, a tal proposito Come scegliere e memorizzare password: World Password Day e Memorizzare password e gestirle in sicurezza).
3) Scegliere nuove password diverse tra loro, lunghe e complesse.
4) Nell’impostare le nuove password includere numeri, caratteri speciali, lettere maiuscole e minuscole.
5) Variare le proprie password con regolarità, utilizzare sistemi di gestione delle password e modificare le domande di sicurezza, soprattutto in caso di attacchi come quello subito da Yahoo. È infatti opportuno tenere presente che anche attacchi avvenuti prima possono avere conseguenze nefaste a distanza di tempo.
Per maggiori informazioni sulla corretta gestione delle password, suggeriamo di fare riferimento all’articolo Gestione password: come farlo in sicurezza.