Cerca nel blog

2016/12/16

Disastro Yahoo: un miliardo di account violati. Dal 2013

Ultimo aggiornamento: 2016/12/20 15:00.

Circa tre mesi fa Yahoo ha fatto scalpore annunciando che si era fatta rubare le credenziali di circa 500 milioni di account: un record assoluto.

Ora è arrivata la segnalazione di un furto di account ancora più grande, che ha effetto su un miliardo di account. E l’azienda colpita è di nuovo Yahoo. Ho anch’io un vecchio account Yahoo, sul quale ho ricevuto l’avviso di sicurezza riguardante questa nuova scoperta.

Una brutta figura, insomma, peggiorata dal fatto che l’annuncio del furto ammette che i dati sono stati sottratti ad agosto del 2013 ma gli utenti ne vengono avvisati soltanto adesso. In altre parole, i buoi non sono soltanto già scappati dal recinto: nel frattempo hanno fatto famiglia e messo su casa.

La cosa è grave, perché in questo nuovo attacco sono stati trafugati nomi, indirizzi di mail, numeri di telefono, date di nascita e domande di recupero password: tutto il necessario, insomma, per fare attacchi e truffe in massa.

I guai di Yahoo non finiscono qui: una ricerca segnala che i servizi al pubblico dell’azienda avevano una falla talmente grave che un aggressore poteva leggere le mail di qualunque utente Yahoo semplicemente mandando all’utente una mail appositamente confezionata; non aveva bisogno di conoscere password o altro. Se la vittima leggeva la mail-trappola, l’aggressore prendeva il controllo completo dell’account, come spiega We Live Security. Lo scopritore della falla (Jouko Pynnönen, della società di sicurezza informatica finlandese Klikki Oy) ha ricevuto da Yahoo una ricompensa di 10.000 dollari per aver segnalato il problema all’azienda in modo responsabile.

A questo punto molti utenti si staranno chiedendo cosa fare con i propri account Yahoo. Gli esperti di sicurezza informatica, come Graham Cluley, hanno stilato una serie di consigli, utili soprattutto per chi, per qualche ragione, non può evitare di usare Yahoo:

– prima di tutto, cambiate password su Yahoo e usatene una lunga e complessa oltre che diversa da quelle usate altrove;
– se avete usato la stessa password per altri siti, cambiatela subito anche in questi altri siti;
attivate la verifica in due passaggi, che vi manda sullo smartphone un codice di sicurezza supplementare se qualcuno tenta di entrare nel vostro account da un dispositivo non vostro;
riducete al minimo indispensabile il vostro uso di Yahoo;
non usate Yahoo per comunicazioni riservate o confidenziali;
fate attenzione più che mai, d’ora in poi, a eventuali mail, messaggi o telefonate di soggetti che cercano di autenticarsi dicendo di sapere il vostro nome, cognome, data di nascita e numero di telefono: potrebbero essere truffatori.

Da parte mia aggiungo che è opportuno controllare anche gli eventuali servizi collegati all’account, come per esempio quelli di Flickr, sito dedicato alle fotografie, per il quale è obbligatorio un account Yahoo (ho cambiato di nuovo la password anche se avevo già attivato la verifica in due passaggi, ho tolto tutti i collegamenti di Flickr a Twitter e altri social network e ho cancellato tutte le autorizzazioni Flickr delle applicazioni di terzi).

Se non avete un account Yahoo, non compiacetevi troppo: queste regole valgono infatti per tutti i fornitori di account, e purtroppo l’esperienza insegna che è solo questione di tempo prima che un furto come questo capiti a qualche altro fornitore. Siate prudenti.

Nessun commento: