E’ appena giunta notizia di uno dei più imponenti attacchi informatici degli ultimi periodi, di sicuro uno dei più pesanti nei confronti del colosso Yahoo!, che è stato arrembato da cybercriminali che sono stati in grado di accedere a dati sensibili (nomi utenti e password) di oltre 400.000 utenze iscritte al servizio Yahoo Voice. Ma il particolare più grave sottolineato dalla società di sicurezza informtica Trusted Sec. è che queste informazioni riservate erano archiviate in un modo totalmente non adeguato, senza essere criptate e dunque facilmente rubabili in blocco per poi essere diffuse (come è successo) in chiaro. Si tratta di un attacco che segue quello recente subito da LinkedIn.
Gli organi di stampa americani hanno diffuso la notizia negli scorsi minuti: Yahoo! sarebbe stata attaccata da un gruppo di pirati informatici che avrebbero derubato il sito di 400.000 login dunque di dati sensibili come nome utente e password per accedere ai servizi proprietari. Come raccontato da Trusted Sec, la falla è stata trovata nel servizio Yahoo Voice ossia una rivale di Skype per chiamare da PC a PC in modo gratuito e alta qualità sfruttando la tecnologia VoIP. Il problema, però, non è solo il furto di informazioni, ma il modo in cui è stato reso possibile.
Le password e non solo i nomi utenti erano archiviati nei database completamente in chiaro e dunque non hanno necessitato di particolari sforzi per essere decriptate. E’ bastato far accesso e copia-incollare tutti i dati. Secondo le prime informazioni che arrivano dalle società di sicurezza informatica, il metodo per compromettere le barriere è stato probabilmente quello di un attacco SQL Injection che è penetrato nel database. Il numero preciso di utenze interessate è di 453.492.
Yahoo Voice è un servizio VoIP (voice over IP) reso possibile dall’accordo con la società Jajah che è stato firmato nel 2008. Permette di chiamare da PC a PC in modo gratuito e in alta qualità, mentre offre tariffe vantaggiose per chiamare i telefoni fissi. Si attendono aggiornamenti su questo attacco, che segue di pochi giorni quello subito da LinkedIn che ora dovrà fronteggiare una imponente class action che rivendica i diritti lesi a danno degli utenti che hanno subito lo “spiattellamento” delle informazioni per un totale di 6.5 milioni di iscritti. Qui il danno è decisamente superiore, non è difficile immaginare azioni legali in tempi brevi.