DI BINOY KAMPMARK
counterpunch.org
Ha avuto luogo nell’Agosto del 2013. E’ stato un attacco di portata inaudita, impetuoso, audace, e se crediamo a quanto dichiarato dai vertici di Yahoo, non rilevato all’epoca. Il risultato della forzatura di quasi 1 miliardo di account è stato un remunerativo approvvigionamento e uso di materiale da parte di spammers e cyber criminali che agiscono nel mercato nero del web, con un guadagno stimato di circa 300 mila $.
I dati rubati comprendono indirizzi e-mail, nomi, numeri di telefono, date di nascita, password codificate (hash delle password, NdT), e una quantità non ben definita di domande di sicurezza criptate e non, con le relative risposte. Se vogliamo fidarci della dirigenza della compagnia, l’intrusione non ha colpito le password in chiaro, i numeri di carte di credito e informazioni relative ai conti in banca.
Questo per quanto riguarda l’attacco del 2014, reso pubblico a Settembre, che ha colpito circa mezzo milione di account. Le dichiarazioni dell’ addetto stampa della compagnia erano davvero poco incoraggianti. Il miliardo di account hackerato era “distinto dall’incidente che è stato scoperto il 22 Settembre 2016”. (1)
Che cosa pensava l’AD Marissa Mayer riguardo la sua nomina? La sicurezza non avrebbe potuto essere una priorità. Questa linea è in netto contrasto con il ricordo dell’esperienza che si verificò sei anni prima, quando Yahoo, Google, e altre compagnie del web, ricevettero le inaspettate attenzioni di hacker del apparato militare cinese.
Le reazioni furono varie. Sergey Brin di Google assunse una schiera di ingegneri per la sicurezza, incentivandoli con allettanti bonus. Yahoo preferì trascinare il suo collettivo aziendale in una guerra interna tra i “paranoici” , ossia coloro che caldeggiavano più sicurezza, e il resto dell’azienda, sul costo della sicurezza. (2)
Secondo quanto dichiarato da Jeremiah Grossman, un ex delegato per la sicurezza di Yahoo, “ c’è confusione, c’è frustrazione, e non c’è un gran supporto per gli addetti alla sicurezza” (Wired, Dic 2014). A questa atmosfera può inoltre essere dovuto il desiderio da parte dei nerd di nascondere il fatto qualora vi fossero attacchi da parte di hacker.
Né è stata vista la Mayer. Nelle parole poco convincenti dell’addetta stampa di Yahoo “Marissa e il nostro team esecutivo sono profondamente impegnati nelle indagini in corso”. (3) Secondo ciò che sostiene il Financial Times, dovrebbe essere stata riassunta in Luglio, quando già era a conoscenza dell’attacco del 2013. Questo ha sollevato “questioni riguardo alla questione se possa aver trattenuto informazioni da investitori, regolatori e il suo acquirente Verizon, fino a questa settimana”. Davvero molto perfido, da parte sua.
Questo caleidoscopico caos è venuto alla luce mentre la Mayer lavorava per rendere Yahoo appetibile per la Verizon per il valore di 4,8 miliardi di dollari, che era più o meno ciò che la compagnia si aspettava.
Questa appetibilità, anche per un malato di tecnologia, è stata fortemente erosa dai due massicci attacchi subiti in poco tempo, il che suggerisce che la compagnia non ha prestato la dovuta attenzione alla vasta insorgenza di informazioni che si sono susseguite in internet. Nella spietata giungla che è il web Yahoo è rimasta in dietro. Verizon, per quanto ancora in gioco, pretende degli adeguamenti all’accordo.
Sorvolando sui problemi di affidabilità della sicurezza, che si possono considerare il limite di Yahoo, esso è una piattaforma che offre molte scelte valide. Numerosi stati hanno accordi molto rigidi con le compagnie di informazione, per proteggere quello che custodiscono. Si presume sia d’obbligo uno standard di sicurezza, per la cui violazione sono previste conseguenze penali.
Il sostituto commissario per l’informazione britannico, Simon Entwisle, sta sorvegliando la compagnia e così stanno facendo anche altri suoi colleghi. L’ufficio per l’informazione ha in qualche modo multato TalkTalk per la cifra di 400 mila £ per l’attacco dell’Ottobre dello scorso anno. Il furto di informazioni ha coinvolto circa 157 mila utenti. Dei quali vi erano qualcosa come 16 mila dettagli di conti bancari.
Nonostante il comportamento apparentemente cooperante di TalkTalk ( la compagnia ha dichiarato “di essere veritiera e onesta con la clientela dall’inizio”), la multa rimane. “Si, le azioni degli hacker sono sbagliate” afferma l’addetto stampa, Elizabeth Denham, “ma ciò non è una scusante che legittima le compagnie del web a declinare le loro responsabilità sulle falle nella sicurezza”. E’ d’obbligo d’ora in poi per le società “fare di più per la salvaguardia dei clienti. Ciò che fino ad ora non è stato fatto.” (4)
A questo punto gli utenti di Yahoo potrebbero precipitarsi ai loro pc e cancellare i loro account dicendo addio all’imperfetto meccanismo del gigante di internet. Ma come tutti sappiamo anche dopo la cancellazione di un profilo mail “i dati dello stesso non verranno emendati dai database di Yahoo per altri 90 giorni, a anche dopo questo termine, è possibile rintracciarne alcuni dettagli.” (5)
Riavvolgendo il discorso, i pezzi grossi di Yahoo sono al principio della confessione. La piazza sta facendo il lavoro al posto loro per un certo verso, e probabilmente i clienti faranno il resto. Ma ormai il danno è fatto, e qualsiasi tentativo di cancellare dati e informazioni dalla piattaforma sarebbe tardivo e inutile. Nell’era in cui gli hacker dilagano neanche la cancellazione definitiva può più nulla.
Binoy Kampmark
Fonte: www.counterpunch.org/
Link: http://www.counterpunch.org/2016/12/20/the-hack-of-all-hacks-breaching-yahoo/
20.12.2016
Traduzione per www.comedonchisciotte.org a cura di ALE.OLIVI
Note
[1] https://www.wired.com/2016/12/yahoo-hack-billion-users/
[2] http://www.nytimes.com/2016/09/29/technology/yahoo-data-breach-hacking.html?_r=0
[3] http://www.nbcnews.com/tech/tech-news/yahoo-just-had-two-biggest-hacks-ever-so-why-haven-n696496
[4] http://www.bbc.com/news/business-37565367
[5] http://theconversation.com/second-revealed-yahoo-hack-means-it-really-is-time-to-delete-your-yahoo-account-70556