skip to main | skip to sidebar
17 commenti

Disastro Yahoo: un miliardo di account violati. Dal 2013

Ultimo aggiornamento: 2016/12/20 15:00.

Circa tre mesi fa Yahoo ha fatto scalpore annunciando che si era fatta rubare le credenziali di circa 500 milioni di account: un record assoluto.

Ora è arrivata la segnalazione di un furto di account ancora più grande, che ha effetto su un miliardo di account. E l’azienda colpita è di nuovo Yahoo. Ho anch’io un vecchio account Yahoo, sul quale ho ricevuto l’avviso di sicurezza riguardante questa nuova scoperta.

Una brutta figura, insomma, peggiorata dal fatto che l’annuncio del furto ammette che i dati sono stati sottratti ad agosto del 2013 ma gli utenti ne vengono avvisati soltanto adesso. In altre parole, i buoi non sono soltanto già scappati dal recinto: nel frattempo hanno fatto famiglia e messo su casa.

La cosa è grave, perché in questo nuovo attacco sono stati trafugati nomi, indirizzi di mail, numeri di telefono, date di nascita e domande di recupero password: tutto il necessario, insomma, per fare attacchi e truffe in massa.

I guai di Yahoo non finiscono qui: una ricerca segnala che i servizi al pubblico dell’azienda avevano una falla talmente grave che un aggressore poteva leggere le mail di qualunque utente Yahoo semplicemente mandando all’utente una mail appositamente confezionata; non aveva bisogno di conoscere password o altro. Se la vittima leggeva la mail-trappola, l’aggressore prendeva il controllo completo dell’account, come spiega We Live Security. Lo scopritore della falla (Jouko Pynnönen, della società di sicurezza informatica finlandese Klikki Oy) ha ricevuto da Yahoo una ricompensa di 10.000 dollari per aver segnalato il problema all’azienda in modo responsabile.

A questo punto molti utenti si staranno chiedendo cosa fare con i propri account Yahoo. Gli esperti di sicurezza informatica, come Graham Cluley, hanno stilato una serie di consigli, utili soprattutto per chi, per qualche ragione, non può evitare di usare Yahoo:

– prima di tutto, cambiate password su Yahoo e usatene una lunga e complessa oltre che diversa da quelle usate altrove;
– se avete usato la stessa password per altri siti, cambiatela subito anche in questi altri siti;
attivate la verifica in due passaggi, che vi manda sullo smartphone un codice di sicurezza supplementare se qualcuno tenta di entrare nel vostro account da un dispositivo non vostro;
riducete al minimo indispensabile il vostro uso di Yahoo;
non usate Yahoo per comunicazioni riservate o confidenziali;
fate attenzione più che mai, d’ora in poi, a eventuali mail, messaggi o telefonate di soggetti che cercano di autenticarsi dicendo di sapere il vostro nome, cognome, data di nascita e numero di telefono: potrebbero essere truffatori.

Da parte mia aggiungo che è opportuno controllare anche gli eventuali servizi collegati all’account, come per esempio quelli di Flickr, sito dedicato alle fotografie, per il quale è obbligatorio un account Yahoo (ho cambiato di nuovo la password anche se avevo già attivato la verifica in due passaggi, ho tolto tutti i collegamenti di Flickr a Twitter e altri social network e ho cancellato tutte le autorizzazioni Flickr delle applicazioni di terzi).

Se non avete un account Yahoo, non compiacetevi troppo: queste regole valgono infatti per tutti i fornitori di account, e purtroppo l’esperienza insegna che è solo questione di tempo prima che un furto come questo capiti a qualche altro fornitore. Siate prudenti.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (17)
Solo una domanda, che ho notato nessuno si è posto, ma qualcuno crede davvero che Yahoo abbia oggi o abbia mai avuto 1 miliardo di utenti?

A me sembravano già tanti i 500 milioni dell'altra volta, che io sappia l'unico servizio che poteva avere 1 miliardo di utenti nel 2013 era Facebook, ma mi pare di ricordare che anche loro ci siano arrivati più tardi. Oggi forse ce ne sono 2-3 in tutto ed il successo di yahoo mi sembra tutto fuorché in espansione...
A proposito dell'attivazione della verifica in due passaggi (che personalmente ho attivato ovunque potessi), in questo particolare caso non so se è davvero consigliabile. Con un sistema così bacato mi viene da pensare che si possa finire per rivelare anche il proprio numero di cellulare al prossimo che attaccherà il sito.
In ogni caso ho eliminato il mio account appena letto della notizia.
Ma Yahoo! al giorno d'oggi per cosa viene usato? A me sembra moribondo da diverso tempo
@Roby10

Dipende se parliamo di utenti attivi o di utenti in totale. Parliamo di un azienda che é sul campo dal 1994. Certo che ha più di un miliardo di account.

Quanti di questi siano attivi e a quanti esseri umani corrispondano invece non saprei.
Lo so che è un modo di dire che non si può cambiare senza sciuparlo, ma da vecchio revisore di articoli miei e altrui non so resistere...

L'idea che dei buoi possano mettere su famiglia sembra, come dire, sconfinare nel dogmatismo religioso...
@Rob10: il numero di account non è il numero di utenti, dato che ognuno può aprire tutti gli account che vuole su yahoo. Potenzialmente, potrebbe averli creati tutti un unico utente.
Ho scoperto che il mio vecchio account Yahoo è scaduto. Dopo aver scoperto Gmail, i tipi di posta elettronica come Yahoo o Libero mi sembrano vecchi, confusi e tristi, come dei telegrammi di condoglianze.
Ebonsi,

L'idea che dei buoi possano mettere su famiglia sembra, come dire, sconfinare nel dogmatismo religioso...

LOL :-)

I buoi potrebbero aver adottato. Ed essersi sposati con altri bovini. Maschi o femmina, l'importante che crescano vitellini felici.
Yahoo era probabilmente un bersaglio allettante con tutti quegli account. Spero che Google sia messo meglio (Google ci lavora abbastanza e offre anche dei premi a chi scopre vulnerabilità), ma su altri servizi online ho parecchi dubbi. Chissà quanti sono stati violati da anni e non lo sappiamo.

@Roby10: credo che una fetta consistente di quel miliardo siano account multipli. Yahoo è stato fra i primi ad offrire una casella di posta gratuita e questa è stata usata anche come account alternativo o secondario, per registrarsi dove serviva un'email e non si voleva inserire quella principale o quando comunque si voleva un'email più anonima o "sacrificabile" (anche se ad un certo punto avevano introdotto gli alias). Veniva usata anche per scopi meno leciti. Ultimamente non è più così semplice, visto che ti chiedono il numero di cellulare.

@balloto: Yahoo ancora un anno fa dichiarava un miliardo di accessi unici mensili fra le sue attività online. A parte che è ancora usato per le email (ebbene sì, anche perché chi ce l'ha dagli anni '90 fa un po' fatica a cambiarla del tutto), Yahoo Finanza è ancora abbastanza seguito, così come Yahoo Answer e altre. Poi ha Tumblr, Flickr. In compenso di attività e servizi ne ha chiusi una marea e ne ha anche acquistati alcuni facendoli chiudere poco dopo (Yahoo ha una pessima fama riguardo a questo).
Anziché aspettare le rivelazioni di Yahoo e compagnia danzante, ogni tanto è il caso di farsi un giro dove questi dati li offrono.

Cosa che Yahoo e compagnia danzante fanno...
Non ho mai avuto un account Yahoo, ma ho ricevuto il loro avviso di sicurezza relativo a questo furto di dati (che pareva autentico) sul mio indirizzo gmail.
Possibili spiegazioni?
@Roby10

Ti dico solo che fino a qualche tempo fa avevo uno stupidissimo blog wordpress aperto, ho dimenticato le iscrizioni aperte per circa due settimane, in quel periodo si saranno registrati almeno una cinquantina di bot differenti, tutti con account @yahoo.com, e devo dire che come indicizzazione non era messo bene il sito, non oso immaginare siti più grossi... 1 miliardo è un numero molto grosso di account ma se si pensa che molti potrebbero essere dei bot diventa già più plausibile il numero (IMHO). Da qualche parte mi sembra di aver letto che solo yahoo mail aveva circa 200 milioni di account attivi, se a questi aggiungiamo tutti gli altri servizi di yahoo e i bot il miliardo è facile da raggiungere. Purtroppo non ricordo dove ho letto il dato dei 200mln quindi non prendetelo come un dato sicuro
L'idea che dei buoi possano mettere su famiglia (...)

I buoi potrebbero aver adottato.



Ah, metodo antiquato. Adesso i cuccioli si fanno fare :-)
Non risiedo in Italia e ho creato un account Yahoo nemmeno 3 settimane fa per poter effettuare degli acquisti da "Yahoo auction" (è uno dei portali per la compravendita online che va per la maggiore nel paese in cui vivo).

Vorrei semplicemente sapere se Yahoo ha messo fine a questa falla o se "blandamente" stia cercando di gestire la cosa.
Ho ricevuto or ora (letteralmente: ore 20:01 del 20 dicembre 2016) una mail da parte di Yahoo che notifica quanto descritto nell'articolo.

Nella mail, dapprima viene detto che il problema "riguarda" la sicurezza dell'account, ma poi i toni sono subito smorzati in "potrebbe riguardare" un "notevole numero di account utente".

Chiariamoci: il mio ("mio" generico) account ne è sicuramente afflitto, o potrebbe esserlo? Sopratutto, "notevole"? UN MILIARDO di account è un numero "notevole"? È come dire che "inverno in Siberia" è "frescolino". Un ENORME numero di account, è una definizione più appropriata.

Non sono cosette da poco, secondo me: è inutile pubblicare una papagna tanta su cosa fare per incrementare la sicurezza del proprio account, se poi non si dà un robusto senso di emergenza alla cosa. L'utente medio probabilmente finirà per dire "ah vabbé, gli avranno rubato qualche migliaio di account, vuoi vedere che proprio io tra tutti...?".

Il top comunque lo si fa ricordando agli utenti di non cliccare sui link provenienti via mail, per poi fornire una FAQ sul da farsi tramite... un link cliccabile.

Non commento ulteriormente, che è meglio...
http://ffn.nodwick.com/ffnstrips/2016-12-15.png
Ancora problemi con Yahoo?

http://www.webnews.it/2017/02/17/yahoo-ancora-problemi-di-sicurezza/