Yahoo!: più di 500 milioni di account violati
Per Yahoo! si tratta di un vero e proprio colpo di stato. L'ex gigante della ricerca sul web, venduto nel mese di giugno al colosso delle telecomunicazioni Verizon, ha riconosciuto le indiscrezioni trapelate qualche giorno fa: 500 milioni dei suoi account sono stati hackerati alla fine del 2014. Da chi? Yahoo! crede vi sia dietro "un'organizzazione sponsorizzata con risorse governative", ma non ha specificato di quale governo. Quindi cautela ma, prima di tutto, modificate la vostra password il più presto possibile.
Quali sono le informazioni rese pubbliche?
Proprio stamane, giovedì 22 settembre, Yahoo! ha confermato l'attacco hacker del 2014, uno dei più grandi della storia, di cui non aveva ancora reso pubblico alcun dato. Molti dettagli non sono ancora chiari, ma sappiamo che le informazioni di milioni di persone, password comprese, sono sostanzialmente in pericolo.Yahoo! invierà agli utenti vittime dell'attacco una mail in cui specificherà alcuni suggerimenti da seguire tra cui, ovviamente, la sostituzione della password.
I dati violati comprendono:
- indirizzi di posta elettronica degli utenti
- password
- date di nascita
- nomi
- numeri di telefono
Fortunatamente mancano all'appello le informazioni bancarie dei clienti di Yahoo! che, almeno per ora, non sembrano essere state attaccate.
Sono stati colpiti tutti gli account Yahoo?
Non è detto. Yahoo!, per proteggere le password, utilizza un tipo di crittografia chiamata "hashing". Ciò significa che gli hacker devono utilizzare computer potenti per criptare le password una ad una. Purtroppo però bastano dei semplici programmi informatici per accedere alle password più facili da indovinare. La scelta di chiavi d'accesso troppo semplici rende il lavoro dei pirati più veloce.
I dati sono stati rivenduti?
Purtroppo sembra di sì e pare che la vendita dei dati sia avvenuta all'inizio del mese di agosto. Il sito specializzato Motherboard ha riferito infatti che un hacker di nome Pace vendeva dati di 200 milioni di utenti di Yahoo!, compresi username, date di nascita, indirizzi e-mail di emergenza e password crittografate, tutti in cambio di tre bitcoin (circa 1600 euro).
E adesso?
Se avete un account Yahoo! e non avete mai cambiato la password dal 2014, sostituitela immediatamente, soprattutto se si tratta della stessa che utilizzate per accedere ad altri siti.
Siete utenti Yahoo!?
Fonte: Yahoo!
Ho sentito al telegiornale che pare che adesso abbiano dato volontariamente i dati degli utenti alle agenzie governative americane. Non è che questa cosa della violazione era per coprire la vendita dei dati ?
Solo un precisazione, la tecnica di hashing che è la cosiddetta tecnica della triturazione o della polpetta, non è un algoritmo in se, è soltanto l'idea su cui si basa la crittografia, poi ognuno implementa la propria tecnica di hashign. Il punto debole di questo tipo di crittografie è questo. Dal punto di vista matematico immaginiamo che ad ogni stringa che è la nostra variabile indipendente, la funzione di hashing, sia essa ad esempio un algoritmo di digest come sha o come md, oppure anche altre più complesse, possono presentare delle collisioni, ossia, dal punto di vista matematico capita che ad elementi distinti del dominio corrisponda la stessa immagine, in altre parole non si ha una funzione iniettiva. Questo comporta la possibilità per chi vuole violare la sicurezza di farlo più facilmente. In teoria, ci sono almeno 2 elevato a 32 stringhe di bit diverse da associare alle password utente. Gli algoritmi che trasformano le nostre password in stringhe crittografate fanno poi in modo che sul database lato server sia conservata la firma della password ossia la password crittografata. Se si volesse usare una tecnica di violazione brute force, ossia provare tutte le possibili stringhe, allora si dovrebbe ricorrere davvero a computer molto potenti, basti pensare che sha usa crittografie a 128 bit e le possibilità sono 2 alla 128, questo significa che un super computer che è in grado di elaborare 1 miliardo di password al secondo, impiegherebbe nel caso peggiore 10 alla 22 anni. Insomma una complessità algoritmica esponenziale che renderebbe impossibile la decriptazione anche al più forte dei computer. Chi fa queste violazioni però si avvale delle debolezze degli algoritmi di digest, dei punti fissi che poi diventano punti deboli. Spesso la complessità diventa logaritmica e si passa ad un numero di anni molto inferiore, compatibile con la vita umana, se poi si considera che si può addirittura diminuire in maniera dicotomica la complessità, allora la sicurezza si abbassa ancora così come il tempo necessario all'elaborazione. Infine il mio discorso è fatto sul caso pessimo. Immaginiamo di avere una lista di nomi e di scorrerla e di trovare il nome che cerchiamo solo alla fine della lista, in ultima posizione. Nel caso medio, il nome sta pressappoco al centro della lista con un ulteriore risparmio di tempo. Queste sono considerazioni da teoria degli algoritmi ma il quello che fanno gli esperti di violazione è altro. Io non lo so perché all'università insegnano le basi ma non fanno corsi di hackeraggio :). Insomma, spero di aver reso bene l'idea. Non è facilissimo ma cambiare la password spesso e cambiare tecnica di crittografia spesso sono gli accorgimenti migliori per prevenire questo tipo di attacchi e violazioni :)
Grazie per la spiegazione