Pochi mesi fa, quando sono stati divulgati i dettagli sull’enorme furto di dati personali degli utenti di Yahoo, che è avvenuto nel 2013 e ha coinvolto circa 500 milioni di utenti, avevamo pensato che sarebbe stato difficile fare peggio. Ma ci sbagliavamo. Pochi giorni fa Yahoo ha ammesso un’altra intrusione, avvenuta nello stesso periodo, che ha portato alla sottrazione di almeno un miliardo di altri account. I numeri di questo data breach sono mostruosi, e il danno all’immagine dell’azienda americana, già provata dai problemi passati, è difficile da quantificare. Basti pensare che Verizon, da tempo in trattativa per l’acquisizione di Yahoo, sta valutando se rinegoziare (al ribasso) l’offerta da 4,8 miliardi di dollari presentata lo scorso luglio, o se addirittura mandare all’aria l’affare.
La catena di errori e negligenze, leggerezze e assenza di controlli mostra il lato peggiore dell’industria IT ed è difficile da giustificare anche per una startup o un’attività amatoriale, figuriamoci per un colosso di Internet che aveva tutte le risorse e le conoscenze necessarie per evitare il disastro. I dati sottratti comprendono tutte le informazioni sensibili degli utenti, come nomi, indirizzi email, numeri di telefono, date di nascita, e perfino la risposta alle domande segrete, in forma criptata o (in alcuni casi) liberamente leggibile. Non mancano, naturalmente, neppure gli hash Md5 delle password: l’algoritmo utilizzato è semplice, e presta il fianco agli attacchi basati su rainbow table, lunghe tabelle che associano gli hash alle password originali. L’uso delle rainbow table non è però una novità : deriva dal lavoro di Martin Hellman, che risale all’inizio degli anni ’80 ed è stato poi sviluppato e integrato da moltissimi altri ricercatori. Usare ancora un sistema di hashing così primitivo e vulnerabile nel 2013 è davvero difficile da giustificare per un’azienda i cui utenti sono il valore più importante.
Cosa possono fare gli utenti di Yahoo? Di sicuro cercare alternative per la posta elettronica, l’hosting delle foto e gli altri servizi offerti, ma soprattutto analizzare con cura le informazioni personali in possesso di Yahoo, e verificare di non averle utilizzate altrove: chi conosce le password, i numeri di telefono, gli indirizzi, e perfino le domande segrete di un utente può arrivare infatti a ottenere l’accesso ad altri siti e servizi Web, anche senza violare la loro infrastruttura di sicurezza.