domenica 18 dicembre 2016

Yahoo! si è fatta anche fregare i tuoi dati: ecco che cosa rischi e cosa devi fare

Repubblica.it
Emanuele Colombo


Justin Sullivan/Getty Images

Yahoo! l’ha ammesso solo il 14 dicembre 2016: non ha capito chi né come, ma nell’agosto 2013 qualcuno è riuscito a rubargli i dati di oltre un miliardo di utenti. Il conteggio comprende, evidentemente, tutti i siti collegati a Yahoo!, visto che gli iscritti alla sola email si stima siano oggi 280 milioni in tutto il mondo. L’azienda non è stata nemmeno in grado di accorgersene da sola, ma anzi sono state le forze dell’ordine ad avvisarla e la cosa “suggerisce considerevoli debolezze nei processi di sicurezza informatica interni”, dice David Emm, Principal Security Researcher della specializzata Kaspersky Lab.


Foto di Scott Barbour/Getty Images
L’episodio del 2013 non è la sola macchia sulla reputazione di Yahoo!: nel 2014 altri 500 milioni di account sono stati violati da pirati sponsorizzati, secondo quanto ha detto la compagnia, da un Governo non meglio identificato. Anche in questo caso la notifica agli utenti è arrivata con anni di ritardo: il 22 settembre 2016. Quali dati sono stati rubati? Ci sono nomi, indirizzi email, numeri di telefono, date di nascita, password e domande di sicurezza (con le relative risposte) per accedere ai vari account, dice Yahoo!, secondo cui dati bancari e numeri di carte di credito sarebbero al sicuro.


Marissa Mayer, ad di Yahoo! Foto di Mario Tama/Getty Images
È documentato, però, che tra il 2015 e il 2016 alcuni degli account violati sono stati utilizzati a insaputa dei legittimi proprietari ed è dunque evidente che il contenuto di tutte le email archiviate, nei tre anni di silenzio dell’azienda, è stato alla mercé degli hacker. Che cosa ne avranno fatto? Di certo “hanno avuto tutto il tempo di vendere le informazioni acquisite, spiare le infrastrutture aziendali, monitorare, dirottare o alterare informazioni”, dice Emm. Patetica la notifica con cui Yahoo! ha suggerito ai suoi iscritti di cambiare password con tre anni di ritardo e li ha informati di aver invalidato le domande di sicurezza con cui potevano accedere alla propria casella di posta nel caso ne avessero dimenticata la parola d’ordine.

“I clienti non hanno controllo sulla sicurezza dei propri provider online”, conferma Emm: “Si spera che la GDPR (General Data Protection Regulation), che entrerà in vigore a maggio 2018, motiverà le aziende a prendere innanzitutto provvedimenti per tenere  al sicuro i dati degli utenti sui propri server e, in  secondo luogo, ad avvertire degli attacchi in modo tempestivo”, aggiunge il ricercatore.


Sunnyvale, California, sede centrale di Yahoo!
Nel frattempo, chi usa l’email di Yahoo! può fare una cosa sola: cambiare le password di tutti i siti e i servizi che utilizza, specie quelli collegati alle proprie caselle di posta elettronica del provider piratato. E controllare tutto quello che succede ai suoi account in giro per il web. Per le password, il consiglio degli esperti è di sceglierle complicate e diverse per ciascuno dei nostri account, così da impedire che, scoperto uno, diventino tutti vulnerabili. Anche perché, il problema della sicurezza online è destinato a ingigantirsi. Nell’era dei servizi “cloud”, per l’archiviazione e la condivisione dei dati online, i pirati hanno bersagli sempre più ghiotti da prendere di mira. E l’occasione, si sa, fa l’uomo ladro.