Yahoo! informa gli utenti di un nuovo attacco. Account violati tra il 2015 e il 2016

16/02/2017

La società Yahoo! Inc sta notificando agli utenti che i loro account potrebbero essere stati compromessi nel periodo tra il 2015 e il 2016, specificando questa volta che i criminali per avere accesso agli account non hanno avuto necessità di conoscere la password ma è stato sufficiente l’utilizzo di un cookie appositamente forgiato. 

L’annuncio arriva a pochi mesi dalla conferma dei maxi-attacchi avvenuti tra il 2013 e il 2014 che avrebbero coinvolto un numero considerevole di utenti (circa 1 miliardo). 

Al momento non è chiaro quante siano le vittime di quest’ultimo attacco, Yahoo! non ha quantificato il numero di utenti colpiti, ha invece ufficializzato l’avvenuta violazione nel mese di dicembre 2016. La notifica di questi giorni contiene un invito a seguire le istruzioni per proteggere il proprio account da eventuali attacchi.

La falla di sicurezza ha consentito agli aggressori di utilizzare un cookie forgiato, presumibilmente generato dai sistemi interni della società, al fine di ottenere accesso agli account Yahoo! senza la necessità di digitare la password. Un po’ come accade quando ci si autentica a un servizio e finchè non si effettua il logout risulta ancora possibile accedere al medesimo servizio senza necessità di reinserire le credenziali.

Prima di procedere con la notifica agli utenti, la società ha provveduto a invalidare i cookie incriminati, tuttavia è vivamente consigliato cambiare password e seguire le istruzioni di Yahoo! per mettere in sicurezza il proprio account.