Quando ieri nel tardo pomeriggio si è diffusa la notizia che Yahoo avrebbe annunciato di avere subito un attacco informatico con relativa, massiccia, perdita di dati, si era pensato a un episodio del 2012 che avrebbe coinvolto ben duecento milioni di credenziali. La realtà si è dimostrata superiore alle prime ipotesi: la società ha infatti rivelato di avere subito un furto di addirittura mezzo miliardo di account verso la fine del 2014. Il che rende l’episodio il più grave (tra quelli conosciuti) di tutti i tempi. Secondo quanto reso noto da Yahoo, tra i dati personali rubati ci sarebbero nomi, indirizzi, numeri di telefono, indirizzi di posta elettronica, data di nascita e password (la maggior parte protette con la tecnica dell’hashing utilizzando bcrypt).
Yahoo ha comunque specificato che dati delle carte di credito, password non protette e informazioni sui conti bancari non sono stati trafugati, essendo custoditi su sistemi diversi da quelli coinvolti. In una nota ufficiale, l’azienda ha anche dichiarato che dalle prime indagini non sarebbe emersi elementi tali da far pensare al coinvolgimento di qualche stato, ipotesi che si era fatta strada inizialmente.
Verizon, che a luglio ha acquisito Yahoo per 4,83 miliardi di dollari, ha rilasciato un comunicato in cui ha dichiarato di essere venuta a conoscenza dell’accaduto solamente negli ultimi due giorni. “Sappiamo che Yahoo sta indagando attivamente su quanto è accaduto,” prosegue la nota, “ma al momento ne sappiamo ancora poco”.
Ad agosto il sito statunitense Motherboard aveva reso noto che l’hacker “Peace” aveva messo in vendita 200 milioni di account Yahoo, presumibilmente risalenti al 2012, sul dark web per tre Bitcoin (circa 1.800 dollari). Da quel momento la società ha cominciato a indagare sull’accaduto, fino alla conferma di ieri che però ha portato a ben altri numeri. In passato lo stesso hacker era stato coinvolto nella vendita illegale di informazioni Myspace, Linkedin e Tumblr.
Come sempre in questi casi il consiglio è di cambiare immediatamente la password di tutti i servizi coinvolti e, se possibile, attivare l’autenticazione a due fattori.