Non c’è pace per Yahoo. Dopo aver svelato solo a settembre un attacco hacker vecchio di almeno due anni, che aveva portato alla compromissione di circa 500 milioni di account, ieri l’azienda ha confermato un’altra intrusione nei propri sistemi informatici. A essere trafugate, questa volta, sarebbero le informazioni di un miliardo di utenti: la falla più grande della storia. La notizia è stata annunciata direttamente dal chief information security officer (Ciso) del gruppo, Bob Lord, che in un comunicato ha sottolineato come l’attacco risalga addirittura al 2013. Un’operazione di hackeraggio venuta però alla luce solo recentemente grazie al lavoro delle forze dell’ordine e, con molta probabilità, non collegata in alcun modo all’incursione scoperta a settembre. Nel bottino dei pirati ci sarebbero anche 150mila account “sensibili”, perché riconducibili all’amministrazione Usa e all’esercito.
Tra le informazioni trafugate anche nomi, indirizzi email, numeri di telefono, date di nascita, password crittografate con hashing e, in certi casi, domande di sicurezza con le relative risposte. Lord ha spiegato che i dataset prelevati da Yahoo non comprendono password in chiaro, informazioni di pagamento o dati sui conti correnti. “Carte e coordinate bancarie non sono conservati nei sistemi colpiti”, ha aggiunto il Ciso dell’azienda.
Ma per gli utenti di Yahoo non è finita qui. Secondo Lord i cybercriminali avrebbero creato cookie speciali che permettono a un intruso di accedere agli account senza conoscere la password. Gli hacker sarebbero riusciti nell’impresa (separata dall’attacco principale) penetrando nel codice proprietario del gruppo californiano, il quale sta provvedendo ad avvisare le persone colpite e a invalidare i cookie corrotti.
“Abbiamo ricondotto questa attività agli stessi attori, sostenuti da qualche Paese straniero, che riteniamo responsabili del data breach svelato lo scorso settembre”, ha commentato il Ciso di Yahoo. La società ha invitato gli utenti a modificare le password e ha invalidato le domande di sicurezza non crittografate. Il consiglio è ovviamente da tenere in considerazione, insieme ad altri suggerimenti, come evitare di aprire email e collegamenti sospetti o utilizzare un sistema di autenticazione a due fattori.
Il 2016 si conferma come un anno drammatico per il gruppo guidato da Marissa Mayer, ancora nel mezzo della trattativa di acquisizione con Verizon. La telco statunitense, che ha messo sul piatto 4,8 miliardi di dollari per rilevare Yahoo, si è a dir poco infuriata quando ha saputo in netto ritardo dell’attacco hacker del 2014 e ha preteso un sconto sulla transazione. Ma Mayer e il board hanno dovuto rispondere all’opinione pubblica anche della presunta operazione di spionaggio autorizzata dall’azienda nei confronti dei propri utenti.
La bomba l’ha scagliata Reuters: citando fonti confidenziali, l’agenzia ha affermato che i vertici di Yahoo e lo stesso amministratore delegato avrebbero autorizzato nel 2015 un massiccio programma di sorveglianza, cedendo alle richieste di funzionari di intelligence governativi. Un’operazione basata su una modifica software che avrebbe permesso alle forze dell’ordine di accedere alla posta in arrivo nelle caselle di centinaia di milioni di utenti di Yahoo Mail, visionando contenuto delle email e allegati.