Yahoo!: più di 500 milioni di account violati

AndroidPIT virus 2
© nextpit

Per Yahoo! si tratta di un vero e proprio colpo di stato. L'ex gigante della ricerca sul web, venduto nel mese di giugno al colosso delle telecomunicazioni Verizon, ha riconosciuto le indiscrezioni trapelate qualche giorno fa: 500 milioni dei suoi account sono stati hackerati alla fine del 2014. Da chi? Yahoo! crede vi sia dietro "un'organizzazione sponsorizzata con risorse governative", ma non ha specificato di quale governo. Quindi cautela ma, prima di tutto, modificate la  vostra password il più presto possibile.

Quali sono le informazioni rese pubbliche?

Proprio stamane, giovedì 22 settembre, Yahoo! ha confermato l'attacco hacker del 2014, uno dei più grandi della storia, di cui non aveva ancora reso pubblico alcun dato. Molti dettagli non sono ancora chiari, ma sappiamo che le informazioni di milioni di persone, password comprese, sono sostanzialmente in pericolo.Yahoo! invierà agli utenti vittime dell'attacco una mail in cui specificherà alcuni suggerimenti da seguire tra cui, ovviamente, la sostituzione della password.

I dati violati comprendono:

  • indirizzi di posta elettronica degli utenti
  • password
  • date di nascita
  • nomi
  • numeri di telefono

Fortunatamente mancano all'appello le informazioni bancarie dei clienti di Yahoo! che, almeno per ora, non sembrano essere state attaccate.

Sono stati colpiti tutti gli account Yahoo?

Non è detto. Yahoo!, per proteggere le password, utilizza un tipo di crittografia chiamata "hashing". Ciò significa che gli hacker devono utilizzare computer potenti per criptare le password una ad una. Purtroppo però bastano dei semplici programmi informatici per accedere alle password più facili da indovinare. La scelta di chiavi d'accesso troppo semplici rende il lavoro dei pirati più veloce.

AndroidPIT Verizon compra Yahoo
Yahoo! è stata venduta a luglio all'operatore di telecomunicazioni statunitensi Verizon per $ 4,8 miliardi. © NextPit

I dati sono stati rivenduti?

Purtroppo sembra di sì e pare che la vendita dei dati sia avvenuta all'inizio del mese di agosto. Il sito specializzato Motherboard ha riferito infatti che un hacker di nome Pace vendeva dati di 200 milioni di utenti di Yahoo!, compresi username, date di nascita, indirizzi e-mail di emergenza e password crittografate, tutti in cambio di tre bitcoin (circa 1600 euro).

E adesso?

Se avete un account Yahoo! e non avete mai cambiato la password dal 2014, sostituitela immediatamente, soprattutto se si tratta della stessa che utilizzate per accedere ad altri siti.

Siete utenti Yahoo!? 

Fonte: Yahoo!

Vai al commento (3)
Pierre Vitré

Pierre Vitré
Caporedattore

Pierre nutre una grande passione per le nuove tecnologie mobile fin dai suoi primi tempi trascorsi con il suo StarTac. Utente Android dal 2011, Pierre non può più fare a meno del robottino verde ed è questo uno dei motivi principali che lo ha spinto ad unirsi al team di AndroidPIT per diventare Caporedattore del team editoriale francese. Non abbandona mai il suo smartphone e smartwatch ed è ancora convinto che Google Glass sarà un successone.

Ti è piaciuto l'articolo? Per favore, condividilo!
Articolo successivo
3 Commenti
Commenta la notizia:
Tutte le modifiche verranno salvate. Nessuna bozza verrà salvata durante la modifica
Commenta la notizia:
Tutte le modifiche verranno salvate. Nessuna bozza verrà salvata durante la modifica

  • 15
    Ottavio 7 ott 2016 Link al commento

    Ho sentito al telegiornale che pare che adesso abbiano dato volontariamente i dati degli utenti alle agenzie governative americane. Non è che questa cosa della violazione era per coprire la vendita dei dati ?


  • 42
    Dommy Dsd 25 set 2016 Link al commento

    Solo un precisazione, la tecnica di hashing che è la cosiddetta tecnica della triturazione o della polpetta, non è un algoritmo in se, è soltanto l'idea su cui si basa la crittografia, poi ognuno implementa la propria tecnica di hashign. Il punto debole di questo tipo di crittografie è questo. Dal punto di vista matematico immaginiamo che ad ogni stringa che è la nostra variabile indipendente, la funzione di hashing, sia essa ad esempio un algoritmo di digest come sha o come md, oppure anche altre più complesse, possono presentare delle collisioni, ossia, dal punto di vista matematico capita che ad elementi distinti del dominio corrisponda la stessa immagine, in altre parole non si ha una funzione iniettiva. Questo comporta la possibilità per chi vuole violare la sicurezza di farlo più facilmente. In teoria, ci sono almeno 2 elevato a 32 stringhe di bit diverse da associare alle password utente. Gli algoritmi che trasformano le nostre password in stringhe crittografate fanno poi in modo che sul database lato server sia conservata la firma della password ossia la password crittografata. Se si volesse usare una tecnica di violazione brute force, ossia provare tutte le possibili stringhe, allora si dovrebbe ricorrere davvero a computer molto potenti, basti pensare che sha usa crittografie a 128 bit e le possibilità sono 2 alla 128, questo significa che un super computer che è in grado di elaborare 1 miliardo di password al secondo, impiegherebbe nel caso peggiore 10 alla 22 anni. Insomma una complessità algoritmica esponenziale che renderebbe impossibile la decriptazione anche al più forte dei computer. Chi fa queste violazioni però si avvale delle debolezze degli algoritmi di digest, dei punti fissi che poi diventano punti deboli. Spesso la complessità diventa logaritmica e si passa ad un numero di anni molto inferiore, compatibile con la vita umana, se poi si considera che si può addirittura diminuire in maniera dicotomica la complessità, allora la sicurezza si abbassa ancora così come il tempo necessario all'elaborazione. Infine il mio discorso è fatto sul caso pessimo. Immaginiamo di avere una lista di nomi e di scorrerla e di trovare il nome che cerchiamo solo alla fine della lista, in ultima posizione. Nel caso medio, il nome sta pressappoco al centro della lista con un ulteriore risparmio di tempo. Queste sono considerazioni da teoria degli algoritmi ma il quello che fanno gli esperti di violazione è altro. Io non lo so perché all'università insegnano le basi ma non fanno corsi di hackeraggio :). Insomma, spero di aver reso bene l'idea. Non è facilissimo ma cambiare la password spesso e cambiare tecnica di crittografia spesso sono gli accorgimenti migliori per prevenire questo tipo di attacchi e violazioni :)

    OttavioFrancesco


    • 14
      Francesco 27 set 2016 Link al commento

      Grazie per la spiegazione

      Ottavio

Commenta la notizia:
Tutte le modifiche verranno salvate. Nessuna bozza verrà salvata durante la modifica