Digital Trends

Yahoo da record: oltre 1 miliardo gli account trafugati

La notizia ci arriva direttamente da Bob Lord CISO di che scrive dalle pagine del blog aziendale un post che ha l’aria di una sconfitta totale. Ne avevamo parlato in un articolo il 24 settembre qui su Tech.  Grazie all’aiuto di esperti forensi e alle autorità, Yahoo è riuscita ad avere i dati trafugati e ha iniziato a fare le dovute verifiche per accertarne l’autenticità. Ieri c’è stato il verdetto che ha evidenziato che a seguito di un secondo e nuovo attacco, presumibilmente State Sponsored, avvenuto nell’agosto  2013 gli account trafugati sembrano essere oltre 1 miliardo.

Fermiamoci un istante ad analizzare la precedente affermazione: ipotizziamo il coinvolgimento di un attore nation-state e, cosa più grave, che si tratta di un nuovo attacco diverso dal precedente e datato agosto 2012 (evidentemente i tizi non fanno vacanza ad agosto). Vi sono seri dubbi sulla data del secondo attacco. Voci su canali non ufficiali datano l’attacco a ben 2 anni prima.

Secondo Yahoo sia nell’attacco del 2013 che in quello del 2014 (2012) sono stati rubati gli stessi identici dati: nomi, email, numeri di telefono, date di nascita, hash di password (bcrypt) e in alcuni casi le frasi di sia in formato criptato che in chiaro.

Come è stato possibile rubare 1 miliardo di dati?

Gli esperti di sicurezza che stanno lavorando insieme alle autorità per risolvere questo caso hanno scoperto che per l’attacco si sono serviti di cookie creati ad-hoc (cookie forging). I cookie, in breve, sono dei dati che la maggior parte dei siti web lasciano sul computer dell’utente che lo visita per svariati motivi. Uno di questi per esempio permette all’utente una volta che si è autenticato su un sito di accedervi di nuovo, magari dopo aver chiuso il browser, senza reinserire le credenziali di accesso.

Gli attaccanti nel caso di Yahoo hanno quindi tecnicamente forgiato dei cookie da zero e li hanno usati per accedere a determinati account Yahoo, bypassando l’autenticazione e quindi senza utilizzare le credenziali di accesso. L’utilizzo di questa tecnica è data dal furto di alcuni codici sorgenti dove era presente l’algoritmo di costruzione del cookie.

Dubbi sulle dichiarazioni di Yahoo

Qualcosa non torna. Secondo le dichiarazioni ufficiali l’attacco sembrerebbe aver fatto uso della tecnica del cookie forging, il che fa presumere che tale attacco sia stato portato “via web” (http), e questo stride molto con i dati presenti nel leak in cui troviamo ad esempio le password in formato criptato e le frasi di sicurezza criptate, difficili da trovare su interfacce web a meno di eventuali bug.

Al tempo stesso potrebbe essere una tecnica efficace per rubare 1 miliardo di account senza farsi scoprire. Si potrebbero sottrarre i dati degli account utilizzando degli spider bot che mentre simulano un normale browser per la navigazione web allo stesso tempo carpiscono i dati dalle pagine utilizzando i cookie forgiati. In questo modo le misure di sicurezza messe a protezione non possono fare altro che far passare le richieste poiché ritenute leggittime.

Cosa fare se si fa parte del data breach?

Se il vostro account è tra i “fortunati” che fanno parte del data leak è necessario eseguire subito delle azioni per limitare i danni. La prima cosa, cambiare la vostra password e disabilitare la domanda di sicurezza, potete farlo a questo linkSarebbe utile anche verificare eventuali attività sospette sul vostro account tramite il pannello di controllo.

In conclusione

Yahoo dal punto di vista della sicurezza fa acqua da tutte le parti. Dal punto di vista economico l’acquisizione da parte di potrebbe subire un nuovo duro colpo. Sembra comunque che la questione non sia ancora conclusa. Yahoo dal canto suo deve fare i conti con le conseguenze di questo nuovo attacco su molteplici fronti e cercare di sistemare le cose il prima possibile.

(Foto di Franco Frollini Flickr, CC-BY-SA 2.0)

Fabio Natalucci

Cresciuto nell’underground hacker dei primi anni 2000, dove ha appreso i concetti fondamentali della cultura hacker.
Oggi è certified ethical hacker ed esperto di sicurezza informatica.
Da oltre 10 anni nel settore IT, attualmente si occupa di sicurezza informatica per una nota banca italiana.
Information security blogger per BlackBerry e InfoSec Institute è autore di diverse pubblicazioni e ricerche su vulnerabilità in ambiti Gov e Telco. Sul web cura un blog di sicurezza informatica .

Twitter LinkedIn Google+ 

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

Inizio
Shares
Share This