23/01/2017 di Redazione

Yahoo indagata, utenti all'oscuro sul data breach per troppo tempo

Secondo fonti confidenziali del Wall Street Journal, la Securities and Exchange Commission non si è accontentata delle spiegazioni date finora a proposito dei due maxi-cyberattacchi del 2014 e del 2016. Una nuova indagine dovrà verificare se l'azienda sia

immagine.jpg

Nuovi guai in vista per Yahoo negli Stati Uniti. L'azienda di Marissa Mayer è stata messa sotto inchiesta dalla Securities and Exchange Commission (Sec), la Consob statunitense, in relazione all'eclatante episodio di data breach di fine 2016: un miliardo di account violati dai cybercriminali in quella che è forse l'operazione hacker più estesa mai scoperta. Certamente, la più grave mai subita da un provider di posta elettronica. Peraltro per Yahoo esisteva un precedente notevole, quello del mezzo miliardo di caselle email violate dai criminali informatici a fine 2014, e va anche detto che ai due incidenti si somma la non leggera accusa (giunta da ex dipendenti) di aver autorizzato e favorito con una modifica software un programma di sorveglianza governativo.

 

Molte gatte da pelare, insomma, per una società che fino a qualche mese prima sembrava in dirittura di acquisizione da parte di Verizon, iter poi messo in stand by proprio dagli scandali della mancata sicurezza e del presunto spionaggio. L'accordo iniziale prevedeva un esborso di 4,8 miliardi di dollari da parte dell'acquirente, ma Verizon ha poi chiesto uno conto di un miliardo alla luce di queste notizie e del conseguente calo di valore del titolo.

 

L'indagine della Securities and Exchange Commission si riferisce comunque solo agli episodi di data breach: secondo fonti confidenziali del Wall Street Journal, la Sec ha richiesto a Yahoo della documentazione che possa provare se l'azienda abbia o meno comunicato ai propri utenti l'avvenuto hackeraggio secondo le modalità e i tempi previsti dalla legge. Per ammissione della stessa Yahoo, non è da escludere che i criminali informatici abbiano potuto accedere a nomi, indirizzi email, nuovi di telefono, date di nascita e, in certi casi, anche a password e domande di sicurezza crittografate.

 

 

 

Nel mese di novembre, all'interno del proprio report trimestrale, la società aveva detto di aver avviato una collaborazione con agenzie federali, nazionali ed estere, inclusa la Sec, per ricostruire dinamiche e conseguenze dell'accaduto, nonché per dare evidenza della propria condotta. Non abbastanza, evidentemente, per convincere la Securities and Exchange Commission che tutto il possibile sia stato fatto. Nel primo dei due data breach, in particolare, colpisce il vuoto temporale intercorso fra il momento dell'attacco (ultimi mesi del 2014) e la scoperta, avvenuta nel settembre di due anni dopo.

 

ARTICOLI CORRELATI