Yahoo dopo aver annunciato il furto di 500 milioni di account a settembre 2016, annuncia oltre 1 miliardo di account personali hackerati sotto natale.
Si tratta del più grosso furto di account della storia.
Tra le informazioni rubate password, domande di sicurezza (quelle effettuate per identificare gli utenti che accedono ai servizi web come la posta elettronica), indirizzi email, date di nascita, numeri di telefono.
Per il gruppo californiano di Sunnyvale, tra i pionieri del Web, si tratta di un nuovo durissimo colpo di immagine che potrebbe avere gravi ripercussioni sull'accordo con Verizon, il colosso USA delle tlc che ha acquistato Yahoo per circa 4,8 miliardi di dollari.
Si tratta inoltre dell'ennesima grana per Merissa Mayer, controversa numero uno di Yahoo che avrebbe dovuto rilanciare il gruppo e che invece sta gestendo la sua fine come finora lo abbiamo conosciuto.
Nelle contrattazioni after hours a Wall Street il titolo di Yahoo perse in pochissimo tempo oltre il 2%.
La società riferisce che non è stata in grado di identificare il responsabile dell’intrusione e quindi del furto dei dati.
Dal comunicato, si scopre che le password erano crittografate usando un algoritmo di hashing ormai superato.
Si tratta del famigerato MD5, che viene considerato “debole” fin dal 1996 ed è stato definitivamente scardinato tra il 2004 e il 2006.
In realtà, quando a settembre è emersa la vicenda dell’attacco avvenuto nel 2014, Yahoo aveva dichiarato che “la maggior parte delle password” era protetta da hashing con bcrypt, un algoritmo decisamente più sicuro e che integra, tra le altre cose, la funzione di salt.
A meno che Bob Lord non sia incappato in un lapsus, quindi, è probabile che il passaggio da MD5 a bcrypt sia avvenuto proprio a cavallo tra il 2013 e il 2104.
Bob Lord rese inoltre pubblica un’altra falla di sicurezza che avrebbe messo a rischio un numero imprecisato di account negli ultimi due anni.
Il problema era collegato all’attacco del 2014, che secondo Yahoo sarebbe stato portato a termine da hacker collegati ad agenzie governative straniere (cioè gli hacker avrebbero potuto accedere al codice proprietario dell’azienda per creare dei cookie che consentono di accedere agli account degli utenti Yahoo senza dover effettuare il login).
Nessun commento:
Posta un commento