Yahoo segna un nuovo record, anche se si tratta di un tipo di primato di cui è probabile avrebbe fatto volentieri a meno. Per lo meno in termini di dimensioni, infatti, il furto di informazioni collegate a 1 miliardo di utenti.
Il furto di dati risalirebbe all'agosto del 2013 e Yahoo, stando a quanto si legge nel comunicato ufficiale dell'azienda, ne sarebbe venuta a conoscenza solo grazie alla comunicazione da parte delle forze di polizia.
Secondo l'azienda, in ogni caso, si tratterebbe di un episodio diverso da quello avvenuto nel 2014 e venuto a galla lo scorso 22 settembre, che aveva interessato "solo" 500 milioni di account.
I pirati, in questo caso, hanno messo le mani su indirizzi email, password e informazioni personali degli utenti, tra cui data di nascita, numero di telefono e, in alcuni casi, anche le domande segrete per la verifica dell'account.
La buona notizia è che le password (solo quelle) erano protette da crittografia. La cattiva notizia è che l'algoritmo usato (MD5) è tutt'altro che affidabile. Anzi: come hanno dimostrato casi di cronaca recente, può essere violato con estrema facilità.
Il furto di informazioni, però, non è l'unico problema di sicurezza di cui gli utenti Yahoo si devono preoccupare. L'azienda, infatti, ha reso pubblica anche una falla di sicurezza di cui sarebbe venuta a conoscenza almeno dallo scorso ottobre e che avrebbe messo a rischio la privacy dei suoi utenti per gli ultimi due anni.
Anche in questo caso la segnalazione è arrivata da indagini esterne all'azienda e offre un quadro decisamente preoccupante: gli stessi hacker che hanno violato i sistemi di Yahoo nel 2014 avrebbero infatti messo le mani sul codice proprietario dell'azienda e lo avrebbero usato per creare dei cookie che consentono di accedere agli account degli utenti Yahoo senza dover effettuare il login.
Gli amministratori avrebbero individuato gli account presi di mira e invalidato i relativi cookie, procedendo inoltre a una revisione del sistema per bloccare attacchi di questo tipo.
Per approfondimenti, che arriveranno anche nelle prossime ore, possiamo consultare l'articolo dedicato a questa vicenda su Security Info.