Il vademecum per difendersi. Primo: cambiare password
Di che dimensioni è il furto informatico di dati subìto e denunciato da Yahoo? I dati di mezzo miliardo di utenti sono stati sottratti a Yahoo! e messi in vendita sulla dark net. Sono numeri che lo hanno già fatto ribattezzare il furto informatico più grande della storia. Numeri che tradotti in denaro diventano un danno incalcolabile per l’azienda di Sunnyvale, alle prese – tra l’altro – con una mega operazione di vendita a Verizon per 4,8 miliardi di dollari. E non è un caso che proprio da Verizon, qualche ora dopo l’ammissione di Yahoo!, abbiano espresso forti perplessità riservandosi ogni decisione per tutelare azionisti e utenti. Operazione di cessione a rischio? Difficile dirlo adesso. Si vedrà.
Quali sono i dati a rischio? Per ammissione della stessa società guidata dal Ceo Marissa Mayer, con l’attacco informatico (che risale al 2014) sono stati sottratti nomi, indirizzi email, numeri di telefono, date di nascita e password di oltre 500 milioni di persone. Dati che, in una veduta più ampia, mettono a rischio miriadi di identità digitali. Non sarebbero finiti nelle mani dei cyber criminali, invece, i dati bancari e relativi alle carte di credito.
Chi ha rubato i dati e dove sono finiti? La montagna di informazioni rubata a Yahoo! è finita sulla dark net, l’insieme di siti Internet non raggiungibili con una comune ricerca online, ma solo attraverso software come Tor. Si tratta del web sommerso, dove i dati di una carta di credito sono in vendita a pochi euro, come la frutta al mercato rionale. Difficile, invece, dare un’identità al colpevole. Almeno per ora. Yahoo! ha parlato di gruppo hacker pilotato da uno Stato straniero, ma è una posizione che non convince gli esperti.
Cosa fare in quattro passaggi? Chiunque sia in possesso di un account Yahoo! può cercare di tutelarsi seguendo quattro passaggi chiave. Primo: cambiare le password. Non solo quella dell’account Yahoo!, ma tutte le password degli account online. Questo perché molto spesso si usa la stessa password per accedere a vari siti. Secondo: entrare nel proprio account Yahoo! ed eliminare le email contenenti dati sensibili, ricordandosi di svuotare il cestino. Terzo: aprire un account di posta elettronica sotto un dominio più sicuro e attivare o la doppia autenticazione che passa da un sms sul cellulare, o una chiave PGP in modo da cifrare ogni tipo di dato o file così che solo il destinatario della mail possa leggere il contenuto. Quarto: non aprire email strane. Inoltre - su suggerimento degli esperti di Kaspersky Lab - se si utilizza un account di posta elettronica Yahoo «è una buona idea applicare la “Yahoo account key”, che elimina la necessità di inserire password e consente un livello di autenticazione in due step».
Perché due anni dopo? Fa discutere, inoltre, la tempistica con la quale Yahoo! ha comunicato l’attacco. Due anni di distanza sono veramente tanti. «Gli Stati Uniti, dove Yahoo! ha la propria sede, hanno una legislazione differente da quella europea e da quella dei singoli Stati Ue – ci dice Gabriele Faggioli, responsabile scientifico dell’Osservatorio Information Security & Privacy del Politecnico di Milano e presidente del Clusit -. In California, Yahoo! non sarà tenuta a notificare la violazione dei dati agli interessati, non sussistendo tra i dati rubati informazioni finanziarie. In Italia c’è l’obbligo di comunicare eventuali violazioni al Garante, e in alcuni casi, anche ai soggetti interessati. Il mancato o ritardato adempimento della comunicazione espone alla possibilità di sanzioni amministrative».