La notizia ci arriva direttamente da Bob Lord CISO di Yahoo che scrive dalle pagine del blog aziendale un post che ha l’aria di una sconfitta totale. Ne avevamo parlato in un articolo il 24 settembre qui su Tech. Grazie all’aiuto di esperti forensi e alle autorità, Yahoo è riuscita ad avere i dati trafugati e ha iniziato a fare le dovute verifiche per accertarne l’autenticità. Ieri c’è stato il verdetto che ha evidenziato che a seguito di un secondo e nuovo attacco, presumibilmente State Sponsored, avvenuto nell’agosto 2013 gli account trafugati sembrano essere oltre 1 miliardo.
Fermiamoci un istante ad analizzare la precedente affermazione: ipotizziamo il coinvolgimento di un attore nation-state e, cosa più grave, che si tratta di un nuovo attacco diverso dal precedente e datato agosto 2012 (evidentemente i tizi non fanno vacanza ad agosto). Vi sono seri dubbi sulla data del secondo attacco. Voci su canali non ufficiali datano l’attacco a ben 2 anni prima.
Secondo Yahoo sia nell’attacco del 2013 che in quello del 2014 (2012) sono stati rubati gli stessi identici dati: nomi, email, numeri di telefono, date di nascita, hash di password (bcrypt) e in alcuni casi le frasi di sicurezza sia in formato criptato che in chiaro.
Come è stato possibile rubare 1 miliardo di dati?
Gli esperti di sicurezza che stanno lavorando insieme alle autorità per risolvere questo caso hanno scoperto che per l’attacco si sono serviti di cookie creati ad-hoc (cookie forging). I cookie, in breve, sono dei dati che la maggior parte dei siti web lasciano sul computer dell’utente che lo visita per svariati motivi. Uno di questi per esempio permette all’utente una volta che si è autenticato su un sito di accedervi di nuovo, magari dopo aver chiuso il browser, senza reinserire le credenziali di accesso.
Gli attaccanti nel caso di Yahoo hanno quindi tecnicamente forgiato dei cookie da zero e li hanno usati per accedere a determinati account Yahoo, bypassando l’autenticazione e quindi senza utilizzare le credenziali di accesso. L’utilizzo di questa tecnica è data dal furto di alcuni codici sorgenti dove era presente l’algoritmo di costruzione del cookie.
Dubbi sulle dichiarazioni di Yahoo
Qualcosa non torna. Secondo le dichiarazioni ufficiali l’attacco sembrerebbe aver fatto uso della tecnica del cookie forging, il che fa presumere che tale attacco sia stato portato “via web” (http), e questo stride molto con i dati presenti nel leak in cui troviamo ad esempio le password in formato criptato e le frasi di sicurezza criptate, difficili da trovare su interfacce web a meno di eventuali bug.
Al tempo stesso potrebbe essere una tecnica efficace per rubare 1 miliardo di account senza farsi scoprire. Si potrebbero sottrarre i dati degli account utilizzando degli spider bot che mentre simulano un normale browser per la navigazione web allo stesso tempo carpiscono i dati dalle pagine utilizzando i cookie forgiati. In questo modo le misure di sicurezza messe a protezione non possono fare altro che far passare le richieste poiché ritenute leggittime.
Cosa fare se si fa parte del data breach?
Se il vostro account è tra i “fortunati” che fanno parte del data leak è necessario eseguire subito delle azioni per limitare i danni. La prima cosa, cambiare la vostra password e disabilitare la domanda di sicurezza, potete farlo a questo link. Sarebbe utile anche verificare eventuali attività sospette sul vostro account tramite il pannello di controllo.
In conclusione
Yahoo dal punto di vista della sicurezza fa acqua da tutte le parti. Dal punto di vista economico l’acquisizione da parte di Verizon potrebbe subire un nuovo duro colpo. Sembra comunque che la questione non sia ancora conclusa. Yahoo dal canto suo deve fare i conti con le conseguenze di questo nuovo attacco su molteplici fronti e cercare di sistemare le cose il prima possibile.
(Foto di Franco Frollini Flickr, CC-BY-SA 2.0)
Facebook Comments