Un miliardo di account Yahoo sono stati violati

Yahoo ha annunciato di avere scoperto un’altra violazione su larga scala dei suoi account, avvenuta ad agosto del 2013, che ha interessato più di un miliardo di persone. Secondo l’azienda, l’attacco informatico di tre anni fa rese accessibili e pubbliche numerose informazioni sui dati di accesso degli utenti ai suoi servizi online, come nomi, indirizzi email e password. Per ora Yahoo ritiene che la violazione appena scoperta non sia collegata a quella annunciata lo scorso settembre e che aveva coinvolto 500 milioni di account.

Bob Lord, il responsabile della sicurezza informatica per Yahoo, ha scritto in un comunicato che la sua azienda è al lavoro per verificare l’entità del danno e dare informazioni più chiare agli utenti. Lord scrive anche di avere scoperto diverse violazioni nei cookie di Yahoo, il sistema che i siti utilizzano per tracciare parte delle attività degli utenti, a scopi pubblicitari o per offrire i loro servizi online. Un gruppo di hacker ha ottenuto gli accessi al codice sorgente di Yahoo e lo ha sfruttato per creare cookie fasulli, diffusi per ottenere informazioni di vario tipo e recuperare le chiavi di accesso agli account. Questa specifica attività sarebbe legata alla violazione annunciata lo scorso settembre e non a quella del 2013.

Nel miliardo di utenti coinvolti c’è un po’ di tutto, compresi 150mila dipendenti del governo e dell’esercito degli Stati Uniti, secondo le fonti consultate da Bloomberg. L’attacco ha reso accessibili informazioni di vario tipo sul loro conto: nomi e cognomi, password, numeri di telefono, domande di sicurezza, date di nascita e accessi a indirizzi email secondari. C’è la possibilità che queste informazioni siano state usate, o possano essere usate in futuro, per accedere agli account personali degli impiegati governativi, offrendo una facile via di accesso a informazioni riservate e rilevanti per la sicurezza nazionale.

In molti casi, gli account Yahoo erano stati aperti appositamente dalle agenzie governative per dare la possibilità ai loro dipendenti di ricevere sulle mail Yahoo le password per il recupero dei loro account governativi principali. Le istituzioni coinvolte nella violazione sono molte, dalla Casa Bianca alla CIA, passando per FBI e la stessa NSA, nota per il suo programma di sorveglianza di massa delle telefonate e delle attività online rivelato da Edward Snowden. Yahoo non ha commentato la notizia diffusa da Bloomberg, la cui fonte sembra comunque affidabile: è Andrew Komarov, un esperto di sicurezza informatica che ha scoperto un database di centinaia di milioni di account di Yahoo e lo ha segnalato al governo, che ha poi girato la segnalazione a Yahoo.

Komarov è responsabile delle ricerche di intelligence di InfoArmor, una società di sicurezza informatica, e il suo lavoro consiste nel rintracciare online i dati rubati negli attacchi informatici, fornendo assistenza alle aziende e alle autorità. Negli ultimi tre anni Komarov si è occupato di un gruppo di hacker e cracker dell’est Europa, fino a scoprire l’esistenza dell’enorme database con i dati di Yahoo messo in vendita su alcuni forum al prezzo di 300mila dollari. L’esperto di sicurezza ha tenuto sotto controllo le attività del gruppo, riuscendo a risalire a tre diversi acquirenti del database: due erano organizzazioni già note per condurre operazioni di spamming su larga scala, mentre il terzo cliente era più misterioso e prima dell’acquisto aveva chiesto di potere verificare l’autenticità delle informazioni di accesso di almeno 10 account governativi statunitensi. Sospettando si trattasse di un’operazione di spionaggio, Komarov ha segnalato la situazione alle autorità.

Oltre a essere grave e pericolosa, la nuova violazione è un ulteriore motivo di imbarazzo per Yahoo, storica società di Internet in una profonda crisi – d’identità e di business – da quasi 10 anni. Dopo numerose traversie, riorganizzazioni interne e tentativi di rilanciare i propri prodotti, a partire proprio dai servizi per le email, quest’anno la società ha avviato la cessione delle sue attività principali alla compagnia telefonica statunitense Verizon, con un accordo da 4,8 miliardi di dollari, che dovrebbe essere concluso entro il primo trimestre del 2017. Quando era stata annunciata la precedente violazione a settembre, Verizon aveva chiarito che ci sarebbero state conseguenze sull’accordo, ventilando la possibilità di chiedere uno sconto o di ritirarsi dall’affare. In seguito all’annuncio della nuova violazione su larga scala, Verizon ha diffuso un breve comunicato confermando la posizione di settembre: “Valuteremo la situazione man mano che Yahoo prosegue con le sue indagini. Prenderemo in considerazione le conseguenze di questi sviluppi prima di stringere un accordo definitivo”.

Yahoo ha ancora centinaia di milioni di account attivi, ma le cose potrebbero cambiare rapidamente nelle prossime settimane alla luce dei nuovi sviluppi. Per molti osservatori, la società ha dimostrato di non essere affidabile per quanto riguarda la protezione dei propri utenti, e il consiglio è di chiudere quanto prima il proprio account Yahoo per passare a servizi più affidabili.