Un fulmine al ciel sereno per la sicurezza dei nostri dati online! Sono stati infatti rubati oltre 500 milioni di password di email Yahoo.
La conferma dell’attacco era attesa da tempo, ed è stata confermata nei giorni scorsi dalla stessa multinazionale, rivelando una situazione molto più grave del previsto. Yahoo ha subito un cyberattacco ad opera di hacker che hanno rubato oltre 500 milioni di account di clienti. Yahoo mail è uno dei primi creati e a cui in tanti sono rimasti affezionati nel corso degli anni ed usano quotidianamente per registrarsi a giochi online.
Purtroppo a quanto pare, da un indiscrezione del Wall Street Journal, i manager di Yahoo hanno individuato hacker (probabilmente legati alla Russia) nei loro sistemi nell'autunno del 2014 ma la notizia è uscita solo nei giorni scorsi. Qualcuno afferma che sia il più grande furto di password mai avvenuto nella storia. La classifica dei leak più consistenti, secondo il sito Have I been pwned?, include infatti 359 milioni di account MySpace; 164 milioni di LinkedIn; 152 milioni di account Adobe. Inoltre in questo caso si tratta di caselle di posta che, se violate, contengono dati molto ricchi e riservati.
A quanto pare i dati sono in vendita sul Dark Web da parte di un hacker di nome Peace. Per l’acquisto di 200 milioni di credenziali di account Yahoo è necessario pagare l’equivalente di 1800 dollari in bitcoin.
Ma quali dati sono stati trafugati?
Yahoo ha dichiarato che le password sono cifrate, per la stragrande maggioranza, con un algoritmo di cifratura considerato più sicuro di altri, cioè con Bcrypt non dovrebbe essere facile decifrarle come avvenuto in altri leak. In ogni caso Yahoo, consapevole dell'attacco, non ha invitato gli utenti a cambiare la password per precauzione, mostrandosi non propriamente reattiva.
Cosa devo fare se ho un account Yahoo?
1) Cambiare la password
Ok è un ovvietà ma meglio essere sicuri di non saltare il passaggio più importante! La prima cosa da fare se avete mai aperto un account Yahoo è cambiarne la password, anche se lo avevate già fatto negli ultimi due anni. Quella nuova deve essere completamente diversa rispetto alla precedente (insomma non aggiungete solo un numero o un simbolo).
2) Cambiate le altre password
Se Yahoo Mail è il vostro account di posta principale, cioè quello che avete usato per iscrivervi ad altri siti e ricevere le email per confermare le vostre iscrizioni, è consigliabile cambiare anche le password di quei servizi: se qualcuno aveva l’accesso alla vostra casella email, poteva farsi inviare messaggi per il recupero della password dagli account collegati.
3) La giusta password
Abbiamo scritto un articolo su come creare una password sicura alcuni anni fa, forse è il caso di ridargli una letta: Sicurezza Online - Proteggi le tue password
4) Doppia verifica
Alcuni servizi online danno la possibilità di inserire un livello di sicurezza aggiuntivo oltre a quello della classica password, solitamente collegato al proprio numero di cellulare. Quando si effettua il login con nome utente e password, il sistema chiede anche di inserire un codice univoco e provvisorio che viene inviato dal servizio tramite un SMS al proprio numero, in questo modo solo chi lo legge può proseguire e accedere ai propri dati. Yahoo anche ha un servizio simile. Perchè non attivarlo? :)
Insomma bisogna dedicare un po' di tempo alla risoluzione del problema di sicurezza di Yahoo. Per sapere se il vostro account è stato in qualche modo “rubato” potete andare su https://haveibeenpwned.com, inserire la vostra email e sperare che non ci siano avvisi di sicurezza.
In bocca al lupo!
I dati del 
