Yahoo, attacco informatico svela 400.000 password

E’ appena giunta notizia di uno dei più imponenti attacchi informatici degli ultimi periodi, di sicuro uno dei più pesanti nei confronti del colosso Yahoo!, che è stato arrembato da cybercriminali che sono stati in grado di accedere a dati sensibili (nomi utenti e password) di oltre 400.000 utenze iscritte al servizio Yahoo Voice. Ma il particolare più grave sottolineato dalla società di sicurezza informtica Trusted Sec. è che queste informazioni riservate erano archiviate in un modo totalmente non adeguato, senza essere criptate e dunque facilmente rubabili in blocco per poi essere diffuse (come è successo) in chiaro. Si tratta di un attacco che segue quello recente subito da LinkedIn.

Gli organi di stampa americani hanno diffuso la notizia negli scorsi minuti: Yahoo! sarebbe stata attaccata da un gruppo di pirati informatici che avrebbero derubato il sito di 400.000 login dunque di dati sensibili come nome utente e password per accedere ai servizi proprietari. Come raccontato da Trusted Sec, la falla è stata trovata nel servizio Yahoo Voice ossia una rivale di Skype per chiamare da PC a PC in modo gratuito e alta qualità sfruttando la tecnologia VoIP. Il problema, però, non è solo il furto di informazioni, ma il modo in cui è stato reso possibile.

Le password e non solo i nomi utenti erano archiviati nei database completamente in chiaro e dunque non hanno necessitato di particolari sforzi per essere decriptate. E’ bastato far accesso e copia-incollare tutti i dati. Secondo le prime informazioni che arrivano dalle società di sicurezza informatica, il metodo per compromettere le barriere è stato probabilmente quello di un attacco SQL Injection che è penetrato nel database. Il numero preciso di utenze interessate è di 453.492.

Yahoo Voice è un servizio VoIP (voice over IP) reso possibile dall’accordo con la società Jajah che è stato firmato nel 2008. Permette di chiamare da PC a PC in modo gratuito e in alta qualità, mentre offre tariffe vantaggiose per chiamare i telefoni fissi. Si attendono aggiornamenti su questo attacco, che segue di pochi giorni quello subito da LinkedIn che ora dovrà fronteggiare una imponente class action che rivendica i diritti lesi a danno degli utenti che hanno subito lo “spiattellamento” delle informazioni per un totale di 6.5 milioni di iscritti. Qui il danno è decisamente superiore, non è difficile immaginare azioni legali in tempi brevi.