Lo scorso settembre Yahoo ci aveva lasciati di stucco, e di certo non in positivo, rendendo pubblica una violazione avvenuta nel lontano 2014 – violazione che ha coinvolto mezzo miliardo di account degli utenti, della quale la dirigenza era al corrente e che è stata resa nota soltanto 2 anni dopo per “tutelare” l’accordo con Verizon.
E, come dice il buon Murphy in un suo corollario, se le cose possono andare peggio si può star certi che succederà. L’azienda ha infatti reso nota, dopo (a loro dire) un’indagine conclusasi soltanto ieri, una seconda violazione ancor più “vecchia” – si parla questa volta di una fuga di dati risalente al 2013.
Sfortuna per Yahoo!, ma ancor più sfortuna per le malcapitate vittime: gli account violati stavolta sono più di un miliardo, il doppio rispetto all’attacco reso noto precedentemente; la buona notizia, l’unica buona notizia, è che le informazioni di pagamento e le password in chiaro non sono state ottenute dai criminali. Questa, però, è l’unica buona notizia.
Si, perché stando a quanto dichiarato da Yahoo! a finire nelle mani dei malintenzionati sono state domande di riserva e risposte in chiaro, password cifrate in MD5 (ritenuto non sicuro dal 2013, dunque altamente violabile) ed informazioni personali degli utenti quali nomi, indirizzi email, numeri di telefono e date di nascita. E, anche se sarà Yahoo! a subire probabilmente gli effetti di questa ennesima batosta, le vittime principali restano comunque gli utenti: una violazione rimasta ignota per oltre 3 anni, che comprende password cifrate con algoritmi insicuri e domande e risposte di riserva, avrà sicuramente fatto danni.
Yahoo! ha dichiarato che, con molta probabilità, la violazione del 2013 non è collegata a quella del 2014; l’azienda comunque sottolinea che i sospetti ricadono, ancora una volta, su altri governi. A prescindere dal motivo, comunque, resta il fatto che le informazioni di oltre 1 miliardo di utenti sono rimaste a disposizione di criminali informatici per ben 3 anni senza che nessuno lo sapesse. Ora come ora Yahoo! ha riazzerato le password, le domande e le risposte di sicurezza degli account coinvolti ma, lasciatecelo dire, è un tantinello troppo tardi.
Non saremmo sorpresi se Verizon, dopo questa ulteriore mazzata, prendesse provvedimenti drastici rispetto all’accordo con Yahoo!.