skip to main | skip to sidebar
10 commenti

Yahoo, oltre 500 milioni di password rubate. Due anni fa, lo ammettono adesso

È probabilmente il più grande furto di dati mai rivelato: Yahoo ha annunciato ieri di aver subito la sottrazione di dati riguardanti “almeno 500 milioni di account”: i dati rubati potrebbero includere “nomi, indirizzi di mail, numeri di telefono, date di nascita, password in formato hash [...] domande e risposte di sicurezza non cifrate”.

Come se non bastasse, il furto è avvenuto due anni fa, verso la fine del 2014, e viene annunciato soltanto adesso, proprio nel momento in cui Yahoo sta cercando di farsi acquistare dall’operatore di telecomunicazioni statunitense Verizon.

Per Yahoo è un’umiliazione totale, e vale poco il tentativo di giustificarsi agli occhi del pubblico generico incolpando del furto “entità sostenute da governi”, fra l’altro senza presentare alcuna prova di quest’accusa, Invocare potenti nemici di stato è un modo per insinuare che non è colpa di Yahoo perché contro certi attacchi non si può fare nulla. Ma qui non è solo questione di essere stati attaccati: c'è anche il fatto di non aver scoperto e annunciato il furto per due anni, nonostante circolassero da qualche tempo voci in proposito). Una dimostrazione di incompetenza piuttosto ineludibile.

Cosa fare se avete un account Yahoo?

– prima di tutto, cambiate password e usatene una lunga e complessa, che sia diversa da quelle usate altrove;
– se avete usato la stessa password per altri siti, cambiatela anche in questi altri siti;
attivate la verifica in due passaggi, che vi manda sullo smartphone un codice di sicurezza supplementare se qualcuno tenta di entrare nel vostro account da un dispositivo non vostro;
fate attenzione a eventuali mail, messaggi o telefonate di soggetti che cercano di autenticarsi dicendo di sapere il vostro nome, cognome, data di nascita e numero di telefono: potrebbero essere truffatori.

Per chi si chiede se i dati di un account possono essere utili a governi ostili o a criminali se non sono accompagnati da password: sì, perché consentono tentativi di phishing mirato molto credibili. E considerato che Yahoo è usato prevalentemente da persone meno giovani, il bottino potrebbe essere particolarmente ricco di profili di persone abbienti e di dipendenti governativi.


Fonti aggiuntive: Motherboard, Graham Cluley.




Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (10)
L'ho sentita ieri alla radio. Credevo di aver capito male! 500 Milioni di accounts. Per contro la popolazione degli USA e' di 310+ Milioni. Da due anni a questa parte, hanno i dati di quasi il doppio della popolazione di una delle superpotenze mondiali.
Non e' poco.
Qualche servizio tipo haveibeenpwned hanno aggiornato i loro database con questo nuovo leak? Le password sono da cambiare comunque ma mi piacerebbe avere comunque una conferma/smentita se il mio account (collegato pure a flickr) è stato bucato...
Sono sempre un po' restio a dare il cellulare per le verifiche a doppio passaggio...se poi come in questo caso la violazione consente di avere ogni tipo di dato, si potrebbe essere vittima di spam anche su cellulare, no? È vero che si possono bloccare i contatti, ma se fosse venduto a decine di spammer poi uno sarebbe costretto a cambiare numero di telefono...
Ho controllato su haveibeenpwned.com sia ieri che oggi ma gli indirizzi email che uso risultano non compromessi. C'è però da dire che questa di Yahoo non è ancora menzionata tra le "Top 10 breaches" quindi non hanno ancora aggiornato il db.
poi qualcuno protestera' che e' un barzelletta vecchia, ma a me vengono in mente le vignette con IE come protagonista...
Uno non può lasciare in sospeso un account che non usa che subito viene violato. E prima opera sync (disinstallato) e poi Yahoo (usato? ma quando mai). Che altro? Adobe (cosa? Adobe? Mai comprato niente).
Basta, io non perdo più tempo.
ad iscrivermi ai servizi vari
Il problema è che molti collegano i vari indirizzi mail, per cui se si perde la password di uno si può accedere inviando una mail di recupero. Il problema non riguarda solo l'indirizzo mail yahoo, ma anche gli altri collegati!
@Paolo:

Il link per la verifica in due passaggi è sbagliato. Quella linkata è una sorta di verifica in zero passaggi (si fa per dire, è sempre uno ma fin troppo semplice).
Non ho provato perché non ho app yahoo, ma in pratica mi sembra che, se hai un app yahoo installata sul telefonino, puoi fare in modo che per loggarti non hai bisogno neanche di inserire la password, ma quando qualcuno tenta di loggarsi col tuo username ti arriva una notifica e basta cliccarla per venire loggato.

Il link corretto per la verifica in due passaggi dovrebbe essere questo.

Purtroppo, come scriveva sopra Nucleo, è una verifica in due passaggi piuttosto scadente, bisogna comunque dargli il numero di telefonino, ed è vero che è un dato in più che si possono perdere.

@Daniel e Enrico:

Haveibeenpwned può funzionare solo se i dati compromessi (o almeno l'elenco degli account compromessi) sono pubblici, non ho capito se questi lo siano.
circa 2 anni fa yahoo ha chiuso da un giorno all'altro la sezione giochi con la chat it.play.yahoo.com/games, pensavo fosse legato ad un problema di sicurezza visto che i giochi usavano il flash... se non è stata una casualità, probabilmente le due cose sono collegate...