Colpo grosso a Sunnyvale: rubati 1 miliardo di account Yahoo

Dic 15, 2016 Marco Schiaffino Attacchi, In evidenza, Intrusione, News, Privacy, RSS 0

Sottratti indirizzi email, password e numeri di telefono. E in circolazione ci sono anche dei cookie che permettono di accedere agli account senza login.

Cosa c’è di peggio di farsi rubare 500 milioni di account? Semplice: farsene rubare un miliardo. A riuscirci è stata Yahoo che in un comunicato ufficiale su Internet ha reso pubblico quello che, almeno in termini di numeri, è il più grande furto di informazioni mai registrato.

La violazione dei sistemi del colosso californiano risale all’agosto 2013 e gli ignoti pirati informatici sono riusciti a mettere le mani su indirizzi email, gli hash delle password e informazioni personali degli utenti, tra cui data di nascita, numero di telefono e, in alcuni casi, anche le domande segrete per la verifica dell’account.

La stessa azienda spiega che l’attacco è precedente a quello del 2014 (reso pubblico lo scorso 22 settembre) che aveva permesso a un gruppo di hacker di rubare informazioni riguardanti 500 milioni di account.

In quel caso sull’azienda di Sunnyvale si era abbattuta una pioggia di critiche legate al fatto che, secondo indiscrezioni, il fattaccio sarebbe stato scoperto quasi subito, ma tenuto segreto per più di due anni.

Questa volta, per lo meno, la dirigenza di Yahoo non può essere accusata di avere insabbiato la notizia. Come spiega il responsabile della sicurezza Bob Lord, infatti, l’azienda è venuta a conoscenza del furto di informazioni solo grazie all’intervento delle forze di polizia, che hanno individuato i dati rubati e informato Yahoo.

In pratica, quindi, per tre anni nessuno si è accorto che i sistemi erano stati violati e che 1 miliardo di account erano potenzialmente a rischio.

Il furto di informazioni riguardanti 1 miliardo di account è inquietante, ma il fatto che l’azienda non se ne sia accorta per 3 anni è ancora più sorprendente.

La scarsa sorveglianza, però, è l’ultimo dei peccati che pesa sulla coscienza dei responsabili sicurezza di Yahoo. Dal comunicato, infatti, si scopre per esempio che le password erano sì crittografate, ma utilizzando un algoritmo di hashing che gli esperti di sicurezza considerano ormai “bollito”.

Si tratta del famigerato MD5, che viene considerato “debole” fin dal 1996 ed è stato definitivamente scardinato tra il 2004 e il 2006. Come è stato dimostrato in altri casi, violare l’hashing MD5 è fin troppo facile.

Il discorso cambierebbe (almeno in parte) se le password fossero state sottoposte anche a una procedura di salt (l’uso di una stringa aggiuntiva che rende meno vulnerabile MD5 agli attacchi di brute forcing – ndr) ma, per il momento, il dettaglio non è stato reso pubblico.

A onor del vero, quando a settembre è emersa la vicenda dell’attacco avvenuto nel 2014, Yahoo aveva dichiarato che “la maggior parte delle password” era protetta da hashing con bcrypt, un algoritmo decisamente più sicuro e che integra, tra le altre cose, la funzione di salt.

A meno che Bob Lord non sia incappato in un lapsus, quindi, è probabile che il passaggio da MD5 a bcrypt sia avvenuto proprio a cavallo tra il 2013 e il 2104.

Le cattive notizie per gli utenti Yahoo, però, non finiscono qui. Nel comunicato pubblicato ieri sera, infatti, Bob Lord rende pubblica un’altra falla di sicurezza che avrebbe messo a rischio un numero imprecisato di account negli ultimi due anni.

Il problema è collegato all’attacco del 2014, che secondo Yahoo sarebbe stato portato a termine da hacker collegati ad agenzie governative straniere.

Ora si scopre che in quell’occasione gli hacker avrebbero potuto accedere al codice proprietario dell’azienda, che avrebbero per creare dei cookie che consentono di accedere agli account degli utenti Yahoo senza dover effettuare il login.

Gli esperti che stanno indagando sulla vicenda sarebbero giunti alla conclusione che questa tecnica sarebbe stata utilizzata per accedere ad alcuni account (non si specifica quanti) di utenti Yahoo.

Gli amministratori avrebbero individuato gli account presi di mira e invalidato i relativi cookie, procedendo inoltre a una revisione del sistema che dovrebbero renderlo immune a questo tipo di attacco.

Condividi l'articolo