Il furto delle password e di altri dati degli utenti registrati su Yahoo è avvenuto ben due anni fa. Ad agosto di quest’anno, l’hacker responsabile, aveva comunicato nel deep web, quella parte di Internet non indicizzata, non tracciabile e navigabile solo attraverso sistemi non familiari all’utente medio, di aver messo in vendita la bellezza di 200 milioni di dati di utenti Yahoo al prezzo di 3 BitCoin (circa 1.600 euro).
Lo staff dell’azienda americana ha però informato i suoi utenti del furto solamente in questi giorni, precisando che il numero degli account potenzialmente violabili è salito è 500 milioni, ed è una stima per difetto. È probabilmente il più grande furto di dati mai rivelato nella storia dell’informatica. La colpa del ritardo è grave, soprattutto perché ora Yahoo tenta di sostenere che l’azione ai suoi danni sia stata incoraggiata da qualche governo anti-americano.
Al di là delle reali responsabilità, il bottino degli hacker è preziosissimo non tanto per le password, quanto in relazione alle cattive abitudini dell’utente medio. Il pacchetto dei dati prelevato comprende nomi, indirizzi e-mail, numeri di telefono, date di nascita, domande e risposte “segrete” per il recupero delle password criptate. Questo significa che è possibile, con un’alta probabilità di successo, tentare di recuperare altre informazioni sfruttando quelle acquisite, allargando addirittura il campo ad altri portali, altri siti e altri servizi. Chi ha un approccio superficiale all’uso della Rete, infatti, utilizza il più delle volte password semplici, facili da ricordare, e usa le stesse chiavi di accesso per la quasi totalità dei siti e servizi online a cui è registrato.
Per correre ai ripari, in realtà, è sufficiente applicare le poche regole utili in questi casi e cioè:
– Cambiare password e usarne una lunga e complessa, che sia diversa da quelle usate altrove. Cambiare quindi anche tutte le password che possano essere ricondotte (quando non identiche) a quella di Yahoo. Una password “complessa” è una stringa di questo genere: @#de23i4i5k.!”009, una sequenza di caratteri tanto difficile da scovare quanto da ricordare. Un buon suggerimento, per evitare di dimenticarla, è quello di utilizzare stratagemmi volti alla memorizzazione logica, come ad esempio iniziali di filastrocche come “plmfmeimnfm” (Perché La Mucca Fa Mu E Il Merlo Non Fa Me), sostituzioni di lettere con numeri (1 per I, 3 per E, 5 per S e via dicendo).
– Attivare la verifica in due passaggi, ove consentito. Si tratta di una combinazione tra identificazione tramite pc e codice di sicurezza supplementare inviato sul cellulare da inserire sempre online.
Purtroppo, a causa del colpevole ritardo nella comunicazione di Yahoo, probabilmente i maggiori danni sono stati già compiuti dai malintenzionati e le conseguenze potrebbero ancora doversi manifestare, ma da questo caso si può imparare una lezione, lato utente, non di poco conto – perché si spera che, dall’altra parte della Rete, i sistemi di sicurezza informatica abbiano già subito un giro di vite -.
Dobbiamo, in sostanza, convincerci che le password che utilizziamo su Internet, almeno quelle che proteggono i nostri dati sensibili, non sono tanto distanti dall’avere lo stesso ruolo delle nostre chiavi di casa o del codice del nostro conto corrente bancario. E per questo motivo vanno tenute in una maggior considerazione, conservate in un luogo sicuro, che non siano diverse copie di un file, magari nel cloud, ma nemmeno solo la nostra mente. Occorre quindi un approccio diverso a queste apparenti lungaggini di natura digitale.
A chi si chiede a chi possano interessare i dati di un account, dove non ci sono codici di carte di credito o password importanti, è opportuno ricordare che il furto d’identità è la prima arma su cui fa leva il phishing, che può diventare uno strumento mirato se fatto attraverso dati credibili. Gli spammer sono alla ricerca quotidiana di account zombie dietro cui nascondersi per i loro corposi invii di email truffa. L’ingegneria sociale viene sfruttata ormai sempre più frequentemente per carpire informazioni e confezionare raggiri ad hoc, nei confronti degli utenti più ingenui.