Aggiornamenti recenti Settembre 20th, 2024 9:00 AM
Dic 15, 2016 Marco Schiaffino Attacchi, In evidenza, Intrusione, News, Privacy, RSS 0
Cosa c’è di peggio di farsi rubare 500 milioni di account? Semplice: farsene rubare un miliardo. A riuscirci è stata Yahoo che in un comunicato ufficiale su Internet ha reso pubblico quello che, almeno in termini di numeri, è il più grande furto di informazioni mai registrato.
La violazione dei sistemi del colosso californiano risale all’agosto 2013 e gli ignoti pirati informatici sono riusciti a mettere le mani su indirizzi email, gli hash delle password e informazioni personali degli utenti, tra cui data di nascita, numero di telefono e, in alcuni casi, anche le domande segrete per la verifica dell’account.
La stessa azienda spiega che l’attacco è precedente a quello del 2014 (reso pubblico lo scorso 22 settembre) che aveva permesso a un gruppo di hacker di rubare informazioni riguardanti 500 milioni di account.
In quel caso sull’azienda di Sunnyvale si era abbattuta una pioggia di critiche legate al fatto che, secondo indiscrezioni, il fattaccio sarebbe stato scoperto quasi subito, ma tenuto segreto per più di due anni.
Questa volta, per lo meno, la dirigenza di Yahoo non può essere accusata di avere insabbiato la notizia. Come spiega il responsabile della sicurezza Bob Lord, infatti, l’azienda è venuta a conoscenza del furto di informazioni solo grazie all’intervento delle forze di polizia, che hanno individuato i dati rubati e informato Yahoo.
In pratica, quindi, per tre anni nessuno si è accorto che i sistemi erano stati violati e che 1 miliardo di account erano potenzialmente a rischio.
La scarsa sorveglianza, però, è l’ultimo dei peccati che pesa sulla coscienza dei responsabili sicurezza di Yahoo. Dal comunicato, infatti, si scopre per esempio che le password erano sì crittografate, ma utilizzando un algoritmo di hashing che gli esperti di sicurezza considerano ormai “bollito”.
Si tratta del famigerato MD5, che viene considerato “debole” fin dal 1996 ed è stato definitivamente scardinato tra il 2004 e il 2006. Come è stato dimostrato in altri casi, violare l’hashing MD5 è fin troppo facile.
Il discorso cambierebbe (almeno in parte) se le password fossero state sottoposte anche a una procedura di salt (l’uso di una stringa aggiuntiva che rende meno vulnerabile MD5 agli attacchi di brute forcing – ndr) ma, per il momento, il dettaglio non è stato reso pubblico.
A onor del vero, quando a settembre è emersa la vicenda dell’attacco avvenuto nel 2014, Yahoo aveva dichiarato che “la maggior parte delle password” era protetta da hashing con bcrypt, un algoritmo decisamente più sicuro e che integra, tra le altre cose, la funzione di salt.
A meno che Bob Lord non sia incappato in un lapsus, quindi, è probabile che il passaggio da MD5 a bcrypt sia avvenuto proprio a cavallo tra il 2013 e il 2104.
Le cattive notizie per gli utenti Yahoo, però, non finiscono qui. Nel comunicato pubblicato ieri sera, infatti, Bob Lord rende pubblica un’altra falla di sicurezza che avrebbe messo a rischio un numero imprecisato di account negli ultimi due anni.
Il problema è collegato all’attacco del 2014, che secondo Yahoo sarebbe stato portato a termine da hacker collegati ad agenzie governative straniere.
Ora si scopre che in quell’occasione gli hacker avrebbero potuto accedere al codice proprietario dell’azienda, che avrebbero per creare dei cookie che consentono di accedere agli account degli utenti Yahoo senza dover effettuare il login.
Gli esperti che stanno indagando sulla vicenda sarebbero giunti alla conclusione che questa tecnica sarebbe stata utilizzata per accedere ad alcuni account (non si specifica quanti) di utenti Yahoo.
Gli amministratori avrebbero individuato gli account presi di mira e invalidato i relativi cookie, procedendo inoltre a una revisione del sistema che dovrebbero renderlo immune a questo tipo di attacco.
Set 05, 2024 0
Giu 12, 2023 0
Gen 30, 2023 0
Ago 08, 2022 0
Set 20, 2024 0
Set 19, 2024 0
Set 18, 2024 0
Set 17, 2024 0
Set 20, 2024 0
Secondo il report del primo trimestre 2024 di Cisco Talos...Set 19, 2024 0
Ora più che mai le aziende si trovano nel mirino dei...Set 18, 2024 0
Negli ultimi tempi gli abusi “transitivi” di...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 20, 2024 0
Secondo il report del primo trimestre 2024 di CiscoSet 17, 2024 0
Pochi giorni fa il Port of Seattle, l’agenzia...Set 16, 2024 0
I ricercatori di Doctor Web hanno scoperto Vo1d, unSet 16, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...Set 13, 2024 0
I ricercatori di Aqua Nautilus hanno individuato un nuovo...