skip to main | skip to sidebar
5 commenti

Yahoo: come sono sfruttabili dati rubati di tre anni fa?

Il disastro del miliardo di account Yahoo violati annunciato di recente ha un’unica circostanza attenuante: essendo avvenuto tre anni fa, nel frattempo molti utenti hanno comunque cambiato le proprie password o hanno smesso di usare i propri account Yahoo. Ma questo non vuol dire che quest’enorme collezione di dati non sia sfruttabile e non faccia gola ai grandi criminali informatici.

I dati sottratti sono stati venduti al mercato nero ad almeno tre acquirenti distinti, ciascuno dei quali avrebbe pagato circa 300.000 dollari, stando alle fonti del New York Times. Gli acquirenti sarebbero due spammer e un altro gruppo interessato allo spionaggio.

Ma cosa se ne fanno, questi criminali, di account che hanno probabilmente password obsolete? Una risposta è che di solito gli utenti cambiano periodicamente le password, ma raramente cambiano le risposte alle domande di recupero password (anche perché domande del tipo “Come si chiamava tua madre da nubile?” di solito hanno risposte che non variano nel tempo).

Questo significa che i malfattori possono rubare gli account anche se non hanno la password aggiornata: usano le risposte alle domande di recupero, che fanno parte dei dati trafugati a Yahoo. Non solo: dato che appunto le risposte alle domande non cambiano, possono usare quelle che avete immesso in Yahoo per rubarvi anche account che avete altrove e che dipendono dalle stesse domande. Di conseguenza, sarebbe una buona idea prendere l’abitudine di rispondere con dati di fantasia alle domande di recupero (segnandosi ovviamente in un luogo sicuro le risposte).

Ma c’è un motivo ancora più significativo per l’acquisto di dati come quelli sottratti a Yahoo: Bloomberg segnala che fra i dati ci sono quelli di oltre 150.000 dipendenti governativi e militari statunitensi. Per una potenza straniera, mettere le mani su “nomi, password, numeri di telefono, domande di sicurezza, date di nascita e indirizzi di e-mail di riserva” di “personale attuale e passato della Casa Bianca, membri del Congresso USA e loro assistenti, agenti dell’FBI, dell’NSA, della CIA” e altri ancora, elencati da Bloomberg, è altamente desiderabile.


Fonte aggiuntiva: Sophos.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (5)
Tutte le precauzioni che elenchi sono sacrosante e condivisibili.
Il problema casomai è riuscire a gestire l'enorme mole di dati di login che possediamo in relazione ai servizi e dispositivi informatici che usiamo.
Francamente mi fido un po' poco dei password manager e credo (ma gradirei essere smentito) che non ne esitano di multipiattaforma\multidevice sia che possano essere usati contemporaneamente da più di uno smartphone e da PC\Mac.

---Alex
Le domande di sicurezza le ho sempre considerate una falla by design dei sistemi di autenticazione. Risposte a domande come "come si chiamava tua madre da nubile?" oppure "qual era il nome del tuo primo animale domestico?" sono facilmente ricavabili con un minimo di ingegneria sociale. Se si inizia a rispondere "in maniera fantasiosa" a queste domande, allora perdono di senso. Tanto varrebbe usare un buon gestore di password come KeePass e segnarsi direttamente le password.
In effetti l'uso di una domanda di recupero la cui risposta è ricavabile/intuibile sembra proprio la parte debole del processo di recupero password. Personalmente uso una risposta palesemente diversa e non collegabile alla domanda, legata anche al dominio, perciò memorizzabile facilmente.
Yahoo ha fatto un disastro. Ha differenza della moda comune di usare gmail, io ancora uso la loro posta elettronica. E' più capiente e la trovo migliore in tutto, almeno per i miei gusti. Questa doppia crisi è una vergogna. Yahoo mi ha invitato a cambiare password (fatto) e a disattivare le domande di sicurezza (fatto). Inoltre ha un sistema di accesso senza password che può essere attivato in sostituzione alle password tradizionali. Il problema, da quanto ho capito, è che i dati li hanno già presi e noi stiamo solo chiudendo la stalla dopo che i buoi sono scappati.
@Michele,

GMail sinceramente non può essere definito una moda comune! È un efficientissimo sistema per gestire con tranquillità ed immediatezza account con migliaia di mail; superato lo scoglio dell'assenza di cartelle vere e proprie come in tutti i "concorrenti" si rivela davvero insuperabile.

Poi può piacere o no, sui gusti personali non metto parola, ma non sminuiamo uno dei migliori servizi di BigG