Qualche considerazione sull’attacco hacker a Yahoo!

Attacco hacker a Yahoo!, violati 500 milioni account: niente di nuovo, non dobbiamo neppure stupirci. Lo stesso hacker con nickname “Peace” che aveva messo in vendita (a maggio 2016) circa 117 milioni di credenziali di utenti LinkedIn, ora ha fatto la stessa cosa con Yahoo! Si tratterebbe di un data breach da record (violazione risalente al 2014), con gravi implicazioni per Yahoo!: a rischio l’imminente vendita all’azienda di telecomunicazioni Verizon per 4,8 miliardi di dollari.
Ma guardiamo la vicenda dal lato “utente Yahoo!”: deve preoccuparsi? Sicuramente sì se usava in Yahoo! la STESSA PASSWORD usata per altri servizi!
Come cerco di spiegare nei miei corsi di Cyber Security, il “password reuse” è una delle peggiori abitudini possibili. Usare la stessa password (anche se complessa) per molti differenti servizi significa semplicemente che – se il servizio viene hackerato, come in questo caso – e ovviamente non per colpa mia, gli hacker proveranno quella password in tutti gli altri servizi ai quali io sono registrato. Esistono software appositi per fare questo e gli hacker li usano!
Ma c’è un altro aspetto, ancor più sottovalutato, da considerare: quasi nessun utente si protegge con l’AUTENTICAZIONE A DUE FATTORI (MFA: muti-factor authentication). Trattasi di un’opzione che aumenta di molto la sicurezza del proprio account e che anche Yahoo! – come gran parte dei servizi più noti (Apple, Dropbox, Google, Linkedin, ecc.) rende disponibile (come si può vedere nell’immagine sottoriportata, tratta dalla pagina di Sicurezza del proprio account Yahoo!).
Facile e sicuro! Ma assolutamente trascurato, per pigrizia, certo, ma anche per la mancanza di conoscenza da parte dell’utente, il quale – nella stragrande maggioranza dei casi – non conosce neppure l’esistenza della MFA, salvo scoprire, quando gli viene spiegato, che la sta già usando per il suo account di Internet banking (in questi casi è la stessa banca che la impone). 
Conclusione: anch’io ho un account Yahoo!, ma la vicenda – che oggi è su tutti i giornali (anche quelli generalisti) e siti web, non mi ha preoccupato. Proprio perchè ho una password forte (e cambiata di recente!) e la verifica a due fattori attivata. Ovviamente in questi casi è buona norma “igienica” cambiare la password, cosa che ho fatto subito.
Il web è diventato un luogo pericoloso? Certo, ma possiamo difenderci!

23 settembre 2016


Aggiornamento 15/12/2016: Yahoo! ha comunicato di aver subito un altro attacco hacker nell’agosto del 2013 che ha comportato la violazione di oltre un miliardo di account.  Sembra che i due “data breaches” (quello risalente al 2014, reso noto a settembre, e quest’ultimo) non siano collegati, ma Yahoo! fa riferimento alla possibilità che sia coinvolto lo stesso «attore sponsorizzato da uno Stato» di cui si parlava in settembre (Cina? Russia?). Si tratta comunque della violazione informatica più grande di tutti i tempi (almeno fino alla prossima…).

Crescono i numeri, ma non cambia la sostanza: rimangono perciò del tutte valide le considerazioni del mio articolo redatto in settembre.

© Copyright 2016 Giorgio Sbaraglia
All rights reserved.

 

Lascia un commento