Aggiornamenti recenti Aprile 24th, 2024 2:00 PM
Dic 15, 2016 Marco Schiaffino Attacchi, In evidenza, Intrusione, News, Privacy, RSS 0
Cosa c’è di peggio di farsi rubare 500 milioni di account? Semplice: farsene rubare un miliardo. A riuscirci è stata Yahoo che in un comunicato ufficiale su Internet ha reso pubblico quello che, almeno in termini di numeri, è il più grande furto di informazioni mai registrato.
La violazione dei sistemi del colosso californiano risale all’agosto 2013 e gli ignoti pirati informatici sono riusciti a mettere le mani su indirizzi email, gli hash delle password e informazioni personali degli utenti, tra cui data di nascita, numero di telefono e, in alcuni casi, anche le domande segrete per la verifica dell’account.
La stessa azienda spiega che l’attacco è precedente a quello del 2014 (reso pubblico lo scorso 22 settembre) che aveva permesso a un gruppo di hacker di rubare informazioni riguardanti 500 milioni di account.
In quel caso sull’azienda di Sunnyvale si era abbattuta una pioggia di critiche legate al fatto che, secondo indiscrezioni, il fattaccio sarebbe stato scoperto quasi subito, ma tenuto segreto per più di due anni.
Questa volta, per lo meno, la dirigenza di Yahoo non può essere accusata di avere insabbiato la notizia. Come spiega il responsabile della sicurezza Bob Lord, infatti, l’azienda è venuta a conoscenza del furto di informazioni solo grazie all’intervento delle forze di polizia, che hanno individuato i dati rubati e informato Yahoo.
In pratica, quindi, per tre anni nessuno si è accorto che i sistemi erano stati violati e che 1 miliardo di account erano potenzialmente a rischio.
La scarsa sorveglianza, però, è l’ultimo dei peccati che pesa sulla coscienza dei responsabili sicurezza di Yahoo. Dal comunicato, infatti, si scopre per esempio che le password erano sì crittografate, ma utilizzando un algoritmo di hashing che gli esperti di sicurezza considerano ormai “bollito”.
Si tratta del famigerato MD5, che viene considerato “debole” fin dal 1996 ed è stato definitivamente scardinato tra il 2004 e il 2006. Come è stato dimostrato in altri casi, violare l’hashing MD5 è fin troppo facile.
Il discorso cambierebbe (almeno in parte) se le password fossero state sottoposte anche a una procedura di salt (l’uso di una stringa aggiuntiva che rende meno vulnerabile MD5 agli attacchi di brute forcing – ndr) ma, per il momento, il dettaglio non è stato reso pubblico.
A onor del vero, quando a settembre è emersa la vicenda dell’attacco avvenuto nel 2014, Yahoo aveva dichiarato che “la maggior parte delle password” era protetta da hashing con bcrypt, un algoritmo decisamente più sicuro e che integra, tra le altre cose, la funzione di salt.
A meno che Bob Lord non sia incappato in un lapsus, quindi, è probabile che il passaggio da MD5 a bcrypt sia avvenuto proprio a cavallo tra il 2013 e il 2104.
Le cattive notizie per gli utenti Yahoo, però, non finiscono qui. Nel comunicato pubblicato ieri sera, infatti, Bob Lord rende pubblica un’altra falla di sicurezza che avrebbe messo a rischio un numero imprecisato di account negli ultimi due anni.
Il problema è collegato all’attacco del 2014, che secondo Yahoo sarebbe stato portato a termine da hacker collegati ad agenzie governative straniere.
Ora si scopre che in quell’occasione gli hacker avrebbero potuto accedere al codice proprietario dell’azienda, che avrebbero per creare dei cookie che consentono di accedere agli account degli utenti Yahoo senza dover effettuare il login.
Gli esperti che stanno indagando sulla vicenda sarebbero giunti alla conclusione che questa tecnica sarebbe stata utilizzata per accedere ad alcuni account (non si specifica quanti) di utenti Yahoo.
Gli amministratori avrebbero individuato gli account presi di mira e invalidato i relativi cookie, procedendo inoltre a una revisione del sistema che dovrebbero renderlo immune a questo tipo di attacco.
Giu 12, 2023 0
Gen 30, 2023 0
Ago 08, 2022 0
Mag 03, 2018 1
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...Apr 22, 2024 0
Nel periodo compreso tra il 13 e il 19 aprile,...