Yahoo ha da poco confermato che una copia di alcune informazioni relative a 500 milioni di account sono state rubate dalla sua rete alla fine del 2014.
Stando a quanto dichiarato dall’azienda, i dati rubati potrebbero includere nomi, indirizzi e-mail, numeri di telefono, date di nascita, hash delle password (la maggior parte con la funzione bcrypt) e, in alcuni casi, domande e risposte di sicurezza criptate o in chiaro.
Secondo quanto fanno sapere da Sunnyvale, non sarebbero in pericolo i dati delle carte di pagamento e le informazioni sui conti bancari, dato che non vengono memorizzati nel sistema colpito da questo attacco.
Sicurezza dei dati sotto indagine
Nella sua ultima relazione trimestrale presentata alla Securities and Exchange Commission (SEC), Yahoo ha aggiunto nuove informazioni relative alla violazione dei dati. L’indagine in corso, però, ha fatto sorgere diversi dubbi in merito al fatto che qualcuno interno all’azienda potesse essere al corrente dell’attacco già dal 2014. La Securities and Exchange Commission ha fatto sapere di avere allargato l’ambito di indagine anche in merito a ciò che alcuni dipendenti Yahoo avrebbero saputo in merito alla violazione e alle misure di sicurezza della società.
Dal canto suo, Yahoo ha da poco istituito un comitato indipendente per indagare sull’attacco in questione. Secondo le informazioni raccolte dalla SEC, Yahoo affermerebbe di aver iniziato la sua prima indagine a luglio dopo che un hacker ha reso noto di aver ottenuto i dati dei clienti della società. L’indagine si sarebbe poi espansa fino a includere una revisione più ampia della rete e della sicurezza dei dati aziendali, compresa una revisione degli accessi alla rete aziendale da parte di un hacker sostenuto da uno Stato che la società aveva individuato nella fine del 2014.
Il comitato, secondo quanto riferisce una fonte vicina al dossier, ha scoperto che già nel 2014 qualcuno in azienda sapeva qualcosa in merito a tale azione, ma non è chiaro né se tale informazione sia stata condivisa né con chi. La stessa fonte ha sottolineato che l’indagine è ancora in corso e ha garantito che Yahoo ha cercato di essere fin da subito il più trasparente possibile, nonostante questi dubbi.
Un unico attacco hacker o due violazioni distinte?
Gli esperti sottolineano che, nonostante le recenti scoperte, il fatto che una violazione conosciuta non sia stata prontamente segnalata in tutta l’organizzazione è da ritenersi un vero fallimento dal punto di vista della sicurezza IT. Questo atteggiamento ha esposto potenzialmente Yahoo al pericolo di un’altra violazione: secondo gli esperti, inoltre, se la notifica fosse avvenuta in tempi brevi si sarebbero potuti mitigare diversi danni.
Gli esperti sottolineano che una mancanza di controlli sulla crittografia da parte di Yahoo è stata ulteriormente messa in luce dalla Securities and Exchange Commission, secondo cui esperti forensi stanno attualmente indagando alcuni elementi riconducibili a un intruso (probabilmente lo stesso criminale informatico appoggiato da uno Stato, responsabile della violazione) che sarebbe riuscito a bypassare la necessità di una password per accedere agli account degli utenti grazie alla compromissione dei cookie. Come è stato possibile?
La maggior parte dei servizi web-based utilizzano i cookie per autenticare in modo permanente i sistemi a un account: è grazie a questo sistema, per esempio, che il nostro pc si ricorda le credenziali di accesso alla nostra posta elettronica e ci permette di accedervi senza dover reinserire la password ogni volta. In questo caso, pare che i criminali informatici abbiano raccolto una grande quantità di cookie validi e siano stati così in grado di rimanere autenticati nei relativi account di Yahoo. Secondo la SEC questo è stato un diverso vettore di attacco rispetto a quello scoperto in origine, ma non è ancora chiaro se si tratti o meno di due violazioni distinte o meno.
