Se nel 2013 erravate tra chi aveva un account mail Yahoo, ed è molto probabile che l’abbiate avuto, i vostri dati sono stati rubati. Lo dice Yahoo, ora sotto il controllo di Verizon, in una nota in cui si ammette che l’attacco pirata che l’azienda ha subito in quell’anno è stato molto più grande di quanto ipotizzato inizialmente, al punto che ne sono stati vittima tutti e tre i miliardi di clienti di allora.
Quanto affermato il 14 dicembre 2016, quando Yahoo divulgò la notizia dell’intrusione avvenuta nell’agosto di tre anni prima, era dunque sottostimato. Prima ancora, il 22 settembre dello scorso anno, il gruppo aveva riferito di un attacco hacker risalente alla fine del 2014 stimando che avesse riguardato “solo” 500 milioni di account.
Nella mani di pirati, lo ricordiamo, s0no finiti nome e cognome, indirizzo, numero di telefono, data di nascita, password cifrata con meccanismi di hashing, le risposte alle domande di sicurezza che dovrebbero proteggere l’account. Tra le informazioni rubate dagli account Yahoo non sembra ci siano dati relativi ai pagamenti con carta di credito o per l’accesso a conti bancari, ma c’è tutto quello che consentirebbe di prendere il controllo della casella di posta; se siete stati sufficientemente sprovveduti da avere usato le stesse credenziali, password e login, su altri servizi, malintenzionati potrebbero entrare altrove e rubare l’inimmaginabile.
Come abbiamo evidenziato altre volte, molti utenti usano la stessa password per diversi servizi online. Se gli hacker scoprono che la password usata sull’account Yahoo, risulta essere la stessa per altre pagina web a cui un utente è iscritto, cercheranno di sfruttarla per accedere ai servizi internet più noti come Facebook e Gmail, compromettendo più account allo stesso tempo. Le regole per essere al sicuro sono quelle che abbiamo descritto in diverse occasioni: non usate la stessa password per più siti, usate password lunghe, robuste (non facili da individuare). Sui siti e servizi che lo consentono, attivate sempre l’autenticazione a due fattori, una funzione progettata per assicurare che solo noi possiamo accedere al nostro account, anche se qualcun altro individua la nostra password.
Verizon ha spiegato che i nuovi dettagli sono emersi in seguito a un’indagine condotta con l’assistenza di esperti forensi esterni alla società. Si ribadisce che quanto emerso “non è un nuovo problema di sicurezza” e che l’azienda sta inviando notifiche via email agli account aggiuntivi colpiti.
Chandra McMahon, Chief Information Security Officer di Verizon, ha dichiarato in una nota che il gruppo “è impegnato a rispettare i più alti standard di trasparenza”; e ancora: “Stiamo lavorando in modo proattivo per garantire la sicurezza dei nostri utenti e delle nostre reti in un contesto in evoluzione fatto di minacce online”.
A luglio dello scorso anno Yahoo e Verizon raggiunsero un accordo che porterà alla fusione; a causa degli attacchi in questione il prezzo fu ridotto a 4,48 miliardi. Il gruppo Yahoo non esiste in pratica più: quello che è rimasto dopo la cessione a Verizon di siti come Yahoo Sport, Yahoo Notizie e Yahoo Finanza fa parte di un fondo di investimento chiamato Altaba che ha nel portafoglio quote in Alibaba e Yahoo Japan.
