Questo è un articolo su più pagine: ti invitiamo a leggere la pagina iniziale
Yahoo, violati 200 milioni di account

Ricordate quando Yahoo annunciò che si era fatta rubare le credenziali di circa 500 milioni di account, a settembre scorso? Ora arriva da Yahoo l'annuncio che l'azienda ha subìto un altro furto di dati che ha effetto su un miliardo di account. Il problema è che il furto è avvenuto ad agosto del 2013 e Yahoo ne sta avvisando gli utenti soltanto adesso. In altre parole, i buoi non sono soltanto già scappati dal recinto: nel frattempo hanno fatto famiglia e messo su casa.

La violazione stabilisce un nuovo record di quantità, battendo il primato precedente, che era già di Yahoo. In quest'attacco sono stati trafugati nomi, indirizzi di mail, numeri di telefono, date di nascita e domande di recupero password.

Non solo: una ricerca segnala che Yahoo aveva una falla talmente grande che un aggressore poteva leggere le mail di qualunque utente Yahoo semplicemente mandando all'utente una mail appositamente confezionata; non aveva bisogno di conoscere password o altro. Se la vittima leggeva la mail, l'aggressore prendeva il controllo completo dell'account, come spiega We Live Security. Lo scopritore della falla, il finlandese Jouko Pynnönen della società di sicurezza informatica Klikki Oy, ha ricevuto da Yahoo una ricompensa di 10.000 dollari per aver segnalato il problema a Yahoo in modo responsabile.

A questo punto sembra piuttosto evidente che la sicurezza degli utenti non è particolarmente prioritaria per Yahoo e la trasparenza non è un valore molto apprezzato, per cui personalmente sconsiglio di usarne i servizi. Se per qualche ragione, tuttavia, non potete evitare di usare Yahoo, consiglio le seguenti precauzioni:

- prima di tutto, cambiate password su Yahoo e usatene una lunga e complessa oltre che diversa da quelle usate altrove;
- se avete usato la stessa password per altri siti, cambiatela subito anche in questi altri siti;
- attivate la verifica in due passaggi, che vi manda sullo smartphone un codice di sicurezza supplementare se qualcuno tenta di entrare nel vostro account da un dispositivo non vostro;
- riducete al minimo indispensabile il vostro uso di Yahoo;
- non usate Yahoo per comunicazioni riservate o confidenziali;
- fate attenzione a eventuali mail, messaggi o telefonate di soggetti che cercano di autenticarsi dicendo di sapere il vostro nome, cognome, data di nascita e numero di telefono: potrebbero essere truffatori.

Ho anch'io un vecchio account Yahoo, sul quale ho ricevuto l'avviso di sicurezza riguardante questa nuova scoperta. Questo account è collegato a Flickr perché per usare Flickr è obbligatorio un account Yahoo. Ho cambiato di nuovo la password anche se avevo già attivato la verifica in due passaggi, ho tolto tutti i collegamenti di Flickr a Twitter e altri social network e ho cancellato tutte le autorizzazioni Flickr delle applicazioni di terzi.

Fonti aggiuntive: Graham Cluley.