Nomi, password, indirizzi email, numeri di telefono, domande di sicurezza, date di nascita, tutto è stato rubato dagli hacker che hanno violato le reti di Yahoo. Quando? Nel 2014.
Può sembrare incredibile, ma ci sono voluti quasi due anni perché Yahoo scoprisse (o portasse alla luce) il più grave episodio di hacking subito da un’azienda americana: i pirati informatici hanno rubato i dati personali associati ad almeno 500 milioni di account (qui le statistiche: l’attacco a MySpace risulta in prima posizione solo perché si riferisce a prima che Yahoo confermasse il numero totale di account compromessi).
L’azienda di Sunnyvale sta investigando l’accaduto insieme all’Fbi e afferma che probabilmente gli hacker appartengono a un gruppo sostenuto da un paese straniero. Reuters ha riportato le dichiarazioni di tre fonti dell’intelligence Usa che dicono che l’attacco appare sponsorizzato da uno Stato perché simile a precedenti hacking collegati ad agenzie di spionaggio russe.
UNA CATASTROFE DI SICUREZZA
“Questa è una delle più gravi violazioni di dati della storia. Non ha la portata del furto subito dall’Ufficio Risorse umane della PA americana (the US Office of Personnel Management) per la natura dei dati sottratti ma è davvero una catastrofe dal punto di vista della security,” afferma Kenneth White, ricercatore e direttore dell’Open Crypto Audit Project.
Infatti i dati rubati erano mascherati con una procedura di sicurezza chiamata hashing (che evidentemente è stata aggirata). Peggio ancora: pare siano state rubate anche le domande e risposte di sicurezza, sia crittate che non crittate, il che potrebbe permettere agli hacker di violare gli altri account Internet degli stessi utenti (per questo gli esperti consigliano sempre di avere password e domande di sicurezza diverse per ogni singolo account: la stessa chiave per tutte le porte vuol dire che, rubata la chiave, gli hacker entrano in tutti i nostri account, social, bancari, di posta, cloud, ecc.).
Al momento Yahoo ha rassicurato i suoi utenti dicendo che i dati delle carte di credito e dei conti correnti bancari “non dovrebbero” essere stati rubati perché sono conservati in un sistema diverso da quello attaccato. Il problema però è che potenzialmente mezzo miliardo di persone si ritrovano le loro password e indirizzi email compromessi da due anni e anche che Verizon, cui Yahoo ha venduto le sue attività web a luglio per una cifra da molti considerata spropositata (4,8 miliardi di dollari), non ne sapeva niente fino a due giorni fa.
ERA TUTTO SUL DARK WEB
L’hacking risalirebbe alla fine del 2014 ma solo ad agosto 2016 sarebbe partita un’indagine interna a Yahoo dopo che un hacker era stato scovato a vendere informazioni relative a 200 milioni di account Yahoo sul dark web. Il sito Motherboard aveva riportato allora che un cybercriminale da tempo conosciuto alle autorità col nome di Peace (aveva già venduto dati di Myspace e LinkedIn) stava pubblicizzando il suo “bottino” su un mercato nero noto come The Real Deal. Peace sosteneva di aver conservato i dati per un po’ per uso privato, ma di aver poi deciso di venderli e guadagnarci (solo 3 bitcoin o poco più di 1.800 dollari, riportava Motherboard).
Yahoo si era limitata a replicare: “Siamo a conoscenza di quanto sostiene questo hacker, abbiamo a cuore la sicurezza dei nostri utenti e stiamo indagando per verificare”. La risposta di Peace è stata immediata. “Che mi frega” (Peace ha usato un’espressione diversa): “Non vogliono confermare? Meglio per me così nessuno resetta le password”. Mentre Yahoo “verificava”, Motherboard ha fatto una prova e confermato che gli account messi in vendita erano effettivamente di Yahoo, anche se alcuni non corrispondevano più a utenti iscritti.
Peace era stato contattato (o contattata, nulla si sa di chi si celi dietro questa sigla) anche da Wired e aveva dichiarato di essere un ex appartenente a un gruppo di hacker russi. Tuttavia secondo Wired la violazione denunciata ora pubblicamente da Yahoo potrebbe non coincidere con quella svelata da Peace (che avrebbe violato i sistemi Yahoo a partire dal 2012). Molti degli account messi sul mercato dall’hacker non sembrerebbero infatti più attivi, scrive Wired: potrebbero essersi sovrapposti episodi diversi e forse anche questo ha reso l’indagine più lunga o complessa. Fatto sta che solo ora Yahoo ha dato tutte le conferme e le informazioni necessarie al pubblico, agli investitori e a Verizon.
CHE FINE FA L’ACCORDO CON VERIZON
Verizon ha dichiarato ieri di aver saputo dell’incidente “due giorni fa” e che non ha dettagli, pur essendo a conoscenza dell’indagine in corso. La telco ha detto che valuterà gli esiti dell’inchiesta con l’occhio rivolto ai propri interessi e a quelli dei suoi clienti, consumatori e azionisti. Finché l’indagine non avrà portato alla luce nuovi elementi, Verizon non ha altri commenti da rilasciare.
“Yahoo finirà sulla gogna mediatica e non solo: i regolatori si chiederanno come ha o non ha protetto i suoi utenti”, commenta Nikki Parker, vice presidente della società di sicurezza Covata. “Le aziende non possono negare le loro responsabilità quando subiscono furti di dati e devono dimostrare di essere seriamente impegnate a risolvere i problemi”. Yahoo ha scritto nel suo comunicato che gli attacchi sponsorizzati da Stati contro grandi aziende hitech sono sempre più comuni. “Speriamo che la vendita a Verizon fosse già registrata dal notaio e sigillata”, replica la Parker.
Secondo Recode infatti l’accordo di vendita con Verizon, che attende il via libera di una serie di agenzie di regolazione nonché degli azionisti di Yahoo, potrebbe essere a rischio. L’analista Robert Peck di SunTrust Robinson Humphrey sentito da Reuters afferma che l’episodio non è sufficiente a convincere Verizon ad abbandonare l’accordo con Yahoo, ma potrebbe essere abbastanza da ottenere uno sconto sul prezzo, fra i 100 e i 200 milioni di dollari.
Steven Caponi, avvocato di K&L Gates, osserva che la violazione subita da Yahoo può ricadere in quei casi in cui il compratore è autorizzato a stralciare un precedente accordo di merger, perché il valore dell’azienda acquisita si è deteriorato. Verizon ha l’opportunità di negoziare i termini del deal o di annullarlo – almeno in teoria, perché pochi ritengono che lo farà veramente.
GLI USA VOGLIONO UNA LEGGE SUI DATA BREACH
Resta la domanda chiave: perché Yahoo ci ha messo tanto a confermare l’attacco e le sue proporzioni e ad avvisare gli utenti? E anche: “Che prove hanno che gli hacker siano pagati da un paese estero?”, si chiede Dave Lee, giornalista hitech della BBC North America.
Sono domande che si fanno anche i politici al Congresso americano: il senatore Mark Warner, ex dell’industria hitech, ha detto che ciò che preoccupa di questo episodio non sono solo le proporzioni ma il tempo impiegato a renderlo pubblico. Warner ha chiesto al Congresso di approvare una legge che renda obbligatorio notificare in tempi brevi gli attacchi alle aziende che comportano una violazione dei dati personali (L’Ue prevede questo nella normativa sulla protezione dei dati adottata quest’anno: le aziende devono informare le autorità delle violazioni entro 72 ore da quando le scoprono. Resta da capire: quando le scoprono o dicono di averlo scoperto?).
LA DEBACLE DI YAHOO “NON SORPRENDE”
Anche il ricercatore Kurt Baumgartner del Kaspersky Lab attacca Yahoo per la lentezza della risposta, ma rincara la dose dicendosi “non sorpreso”: “Da Yahoo me lo sarei aspettato. Questa azienda ha già dimostrato di essere pigra nell’implementazione delle migliori tecnologie e delle best practices in fatto di sicurezza, come la cifratura delle comunicazioni IM o l’uso dell’indirizzo https per i suoi siti web e altro ancora. In fatto di sicurezza, le grandi aziende devono fare da apripista, non aggregarsi”.
Insomma, nonostante il danno arrecato agli utenti di Yahoo, il danno che sta ricevendo Yahoo come azienda sembra ancora più gigantesco: un business in crisi, la Ceo Marissa Mayer attaccata da più parti per la gestione rovinosa, e ora il colpo di grazia non solo a che restava dell’immagine del brand ma al valore dell’accordo di vendita a Verizon. Il momento del data breach non poteva essere più sfortunato.