Yahoo, in procinto d’essere acquistata per 5 milioni di dollari da Verizon, non attraversa certo un bel periodo, sotto il profilo delle performance finanziarie, e dell’immagine. Già il 22 Settembre scorso, la compagnia di Marissa Mayer annunciò d’aver subito un attacco hacker piuttosto ingente, ed oggi ci risiamo: Yahoo ha ammesso un nuovo attacco hacker che, però – in questo caso – ha coinvolto 1 miliardo di account.
Ad averlo ammesso – tramite un comunicato ufficiale sul social aziendale, Tumblr – è stato nientemeno che Bob Lord, ovvero colui che, in Yahoo, in qualità di Chief Information Security Officer, si occupa della sicurezza dei dati. Secondo Lord, l’attacco in questione appare slegato da quello ammesso a Settembre, ma verificatosi nel 2014, che aveva compromesso la sicurezza di 500 milioni di account. In questo caso, l’aggressione è stata scoperta solo da poco – ovvero a Novembre – e si sarebbe verificata nel 2013, portando alla compromissione della sicurezza per ben 1 miliardo di utenti del celebre portale americano che, negli anni ’90, ha fatto la storia del Web.
Degli account in questione, sarebbero finiti nei mercati del Deep Web informazioni altamente identificative, come nome/cognome, data di nascita, indirizzo, numero di telefono, e dati comunque importanti per la privacy, come gli indirizzi email, e le password, seppur ospitate sotto crittografia hash MD5 (è noto, infatti, che gli hacker, con i dovuti “dizionari” di settore, possono risalire lo stesso alle password che si celano dietro i corrispondenti crittografici). Per fortuna, se così, si può dire, non vi sarebbe stato alcun accesso ai dati bancari/finanziari che pure erano ospitati nei medesimi database.
Il problema, tuttavia, non per questo si fa di minore entità. Innanzitutto, il numero di persone “esposte” è, forse, il più alto che la storia della Rete ricordi e, inoltre, è risaputo che, sovente, si usano le medesime password su più servizi. In questo modo, partendo da un’innocente password maillistica, si può finire per subire danni anche su account finanziari, o di e-commerce (conti svuotati, spese non autorizzate), o su cloud hosting personali usati per custodire foto e video riservati (con relativo, fortissimo, pericolo di ricatto).
Questo, Yahoo lo sa bene e, per tale motivo, ha subito proceduto ad invalidare le domande/risposte di sicurezza degli account compromessi, ed ha avvertito tutti coloro che, tra il 2015 ed il 2016, hanno effettuato il login sulla piattaforma di Yahoo, per accedere ad uno dei tanti servizi che quest’ultima offre.
Oltre a ciò, però, è bene procedere anche ad altre cautele. Ad esempio, è il caso di cambiare la password ed il combinato domanda/risposta di sicurezza di tutti gli account ove si siano usate le medesime credenziali di Yahoo. In seguito, tornando su Yahoo, è opportuno controllare la cronologia delle attività registrate e cercare quelle, certo sospette, verificatesi con accesso estero. Infine, sempre restando su profilo Yahoo, si consiglia – vivacemente – di attivare la nuova autenticazione a due fattori – nota come “Yahoo Key Account” che – prima di concedere l’accesso via log-in – richiede l’immissione del codice numerico ricevuto sul numero di cellulare registrato/verificato.