Gli esperti avevano predetto che nel 2017 avremmo avuto il data breach più grande di tutti i tempi, ma dopo la notizia di questi giorni che Yahoo ha subito la perdita di informazioni personali per 1 miliardo di utenti (e non oggi, ma ben 3 anni fa! nel 2013) è difficile immaginarsi chi potrebbe subire un data breach di dimensione ancora superiore a questa.
Ricapitoliamo i fatti
A settembre di quest’anno era emerso un data breach (relativo a 500 milioni di utenti) risalente al 2014, già definito come “Il più grande della Storia”, che aveva messo in luce gravi inadempienze della società sul fronte della sicurezza. Non si era accorta di niente per molto tempo, ed era stata avvisata dalle forze dell’ordine sulla diffusione all’esterno degli account di suoi clienti. Il fatto aveva portato a rimostranze da parte da Verizon, che aveva in corso l’acquisizione degli asset core della società (il motore di ricerca, il servizio email, Yahoo Sport, Yahoo Notizie, Yahoo Finanza, Flickr e Tumblr) per 4,8 miliardi di dollari, e aveva quindi espresso la volontà di rinegoziare o rinunciare.
A quanto si sa, questo secondo data breach, per il doppio del numero di utenti impattati, non ha collegamenti con quello dichiarato a settembre, e risalirebbe addirittura ad un anno prima.
I dati che sono stati trafugati sono relativi a password, domande di sicurezza sia crittate sia non, indirizzi e-mail, date di nascita e numeri di telefono. Le investigazioni sono in corso e in questo momento l’attribuzione è incerta (nel precedente data breach era stato ipotizzato un attacco state-sponsored, in questo caso sono state osservate attività simili). Yahoo ha dichiarato però che dati finanziari (associati a carte di credito e informazioni legate a un conto corrente bancario degli utenti) non sono stati rubati in quanto mantenuti dall’azienda in server separati.
Cosa ci insegna il caso dei data breach Yahoo
Il “doppio incidente” di Yahoo insegna alcune cose importanti:
- Se un’organizzazione non è in grado di gestire bene la sua sicurezza cyber, e gli incidenti in cui può incorrere, ne andrà di mezzo la reputazione e la stessa sostenibilità del business. In un caso come quello di Yahoo non basterà cambiare il CISO per rimettere le cose al loro posto (le dimissioni di Bob Lord, Chief Information Security Officer, e del CEO Marissa Mayer sono comunque molto probabili).
- Oggi è indispensabile avere misure e procedure di Data Protection di elevato profilo per i dati più critici gestiti dall’azienda. Uno dei problemi emersi con il data breach è stato che per gli aspetti di encryption delle password degli utenti Yahoo si era affidata a uno strumento di hashing (MD5) che presenta numerose vulnerabilità note e può essere facilmente aggirato con un attacco brute force.
- Avere un’attività di monitoraggio e detection, oltre che di intelligence sul dark web, per accorgersi in tempo di eventuali attività malevole in corso. L’attacco ha avuto una durata che ai nostri giorni non è più accettabile, la società dovrà risponderne sia verso i suoi clienti, sia verso gli azionisti, potrebbe essere soggetta a sanzioni e subire cause legali.
Cosa fare se si ha un account Yahoo
La società ha immediatamente avvisato i suoi utenti di cambiare le proprie password, ma naturalmente questa misura appare oggi insufficiente, vista la facilità con cui gli hacker possono in ogni momento aprirsi un varco e avere visibilità completa sugli account personali. Di fatto quello che si teme oggi è che molti chiuderanno il loro account con Yahoo e migreranno velocemente verso altri service provider (Gmail ad esempio mette a disposizione una semplice procedura di esportazione di tutta la posta da un account Yahoo[1]).
Come difendersi in futuro?
Quello che gli utenti devono fare oggi è adottare comportamenti consoni all’utilizzo dei servizi Internet, nella navigazione, nella gestione di password e account personali. Le aziende sono nella maggior parte dei casi impegnate in attività di sensibilizzazione degli utenti sui rischi connessi alla rete, la diffusione di una maggiore cultura è già oggi in corso, ma molto deve ancora essere fatto.
Nella gestione delle password, mentre per alcune tipologie di servizi (es. Internet Banking) si utilizzano già da tempo metodi di autenticazione forte e dual factor, invece per la maggior parte dei servizi online le raccomandazioni degli esperti sono:
- Non utilizzare la stessa password ripetutamente per più servizi
- Cambiare con frequenza la password utilizzata
- Utilizzare password più sicure (ad esempio quelle prodotte da un opportuno software generatore di password)
- Archiviare in modo sicuro le password (ad esempio con soluzioni che le criptano)
- Dotarsi di strumenti ad hoc per la gestione più sicura delle password (es. Password Manager come LastPass, Google Smart Lock, 1Password, RoboForm)
- Utilizzare sistemi di autenticazione più forte messi a disposizione dagli stessi provider (ad esempio, opzioni per cui ad ogni login si riceve una notifica via mobile).
A cura di:
Elena Vaciago, The Innovation Group