Porta la firma di Chris Nims, Chief Information Security Officer, l’email che Yahoo ha inviato ai suoi utenti, tutti colpiti, come emerso la scorsa settimana, dal massiccio attacco hacker con cui sono stati violati i 3 miliardi di account dell’azienda di Sunnyvale (e le cui attività Internet sono nel frattempo state acquisite da Verizon).
“Gentile utente Yahoo, Ti scriviamo per aggiornarti in merito a un problema relativo alla sicurezza dei dati precedentemente annunciato da Yahoo nel mese di dicembre 2016. Nel corso di tale anno abbiamo già adottato determinate misure, descritte di seguito, per aiutarti a mettere in sicurezza il tuo account in relazione a questo problema”, esordisce il messaggio.
L’anno scorso Yahoo ha comunicato di aver subito due maxi-cyberattacchi: il primo, risalente al 2014, è stato reso noto a settembre 2016, l’altro, che fa riferimento a un’intrusione avvenuta ad agosto 2013, è stato annunciato a dicembre. Nel primo caso, gli utenti colpiti sono stati oltre 500 milioni; nel secondo, oltre un miliardo: i più grandi attacchi hacker di sempre. Una settimana fa i media americani hanno riportato che ulteriori indagini forensi avevano svelato che la totalità dei 3 miliardi di account Yahoo erano stati colpiti.
Yahoo spiega che “I dati degli account utente rubati potrebbero includere nomi, indirizzi email, numeri di telefono, date di nascita, password con hash (tramite MD5) e, in alcuni casi, domande e risposte di sicurezza crittografate o non crittografate. Non tutti questi elementi potrebbero essere presenti nel tuo account. Le indagini indicano che i dati rubati non includono password con testo in chiaro, dati delle carte di credito o dei conti bancari. I dati relativi a carte di pagamento e conti correnti non sono archiviati nel sistema che riteniamo interessato dalla violazione della sicurezza“.
L’azienda illustra poi i rimedi adottati: dopo l’annuncio di dicembre 2016, Yahoo ha scritto a tutti i suoi utenti chiedendo di cambiare la password, anche quelli che allora non sembravano coinvolti dall’attacco hacker, e ha annullato le domande e le risposte di sicurezza non crittografate in modo che non possano più essere utilizzate per accedere all’account. Oggi, alla luce dei nuovi dati che indicano la violazione della totalità degli account “stiamo lavorando al problema in stretta collaborazione con le forze dell’ordine e continuiamo a migliorare i nostri sistemi preposti a rilevare e impedire l’accesso non autorizzato agli account degli utenti”. Yahoo suggerisce anche la possibilità di utilizzare la Chiave account Yahoo, “uno strumento di autenticazione semplice che elimina del tutto la necessità di usare una password su Yahoo“.
“Diamo grande importanza alla fiducia che i nostri utenti ripongono in noi e la loro sicurezza rappresenta una priorità assoluta”, si legge in chiusura del messaggio del Chief security officer, ma certo il danno per il colosso di Internet resta gigantesco: un giudice distrettuale americano ha stabilito con una sentenza dello scorso agosto che ci sono le basi legali per le vittime degli attacchi hacker per procedere con una class action contro Yahoo, se lo vogliono, con il rischio di una richiesta di risarcimento da record. Il grave episodio di violazione dei dati ha già inciso sulle trattative con Verizon, che ha chiuso la transazione per comprare Yahoo 4,48 miliardi di dollari anziché i 4,8 miliardi inizialmente proposti.