THE REAL DEAL, il market fuorilegge del dark web dove l’hacker russo Peace e gli ex “colleghi” di un gruppo ormai smembrato rivendevano da mesi le password di milioni di account non solo di Yahoo, è inaccessibile da qualche ora. Abbiamo provato ad accedere, ovviamente via Tor. Non solo l’utenza principale della piattaforma di Sunnyvale (utile ad accedere per esempio anche a Flickr, acquistato nel 2005) ma anche estremi di Tumblr (acquisito tre anni fa ma con accesso separato) e di decine di altre piattaforme sono in vendita su quello e su altri siti da mesi. Al costo, più o meno, di 100 dollari per ogni 100mila elementi. Di Yahoo, in particolare, si sapeva con una certa fondatezza almeno da agosto.

Dopo lunghe resistenze ed enigmatici ritardi Yahoo ha confermato ieri il furto da 500 milioni, fatto di dati raccolti addirittura alla fine del 2014. In un’intervista di qualche mese fa a Wired Usa l’hacker in questione spiegava come il fatto che quei dati siano così vecchi non debba sorprendere: i database vengono anzitutto rivenduti privatamente a chi ne fa uso per fini di furti più raffinati di informazioni, spam e phising. Alla fine del ciclo, quando il team che si era creato dietro quelle operazioni si sfalda, ciascuno “arrotonda” rivendendo ciò che è in suo possesso. Per capirci, nel bottino di Peace c’erano anche dati di LinkedIn del 2012 o di MySpace dell’anno seguente. Ma cosa bisogna fare se si è utente di Yahoo – fondamentalmente della posta – o di una delle sue piattaforme?

Secondo le indicazioni fornite dalla stessa Yahoo – che sostiene in ogni caso che le password fossero cifrate con un algoritmo considerato sicuro come Bcrypt, fatto smentito dai campionamenti del sito Leaked Source – occorre cambiare immediatamente password, anche se è già stato fatto. Attenzione, però: deve trattarsi di una chiave del tutto inedita e diversa da quella che usate per altri servizi. Come spiegano molti esperti e hacker nelle interviste, spesso la loro ricchezza principale è proprio questa: una volta acquisita una password bucare anche account di piattaforme diverse dello stesso utente è semplicissimo. Per la stessa ragione, come nelle scatole cinesi, è il caso di cambiare le password di qualsiasi altro servizio nel quale abbiamo utilizzato come nome utente o come informazione di contatto l’indirizzo email di Yahoo. Oppure scollegare gli account in cui avevamo utilizzato un login via Yahoo.

Vale la pena fornire qualche numero per rendersi conto che, nonostante tutto, il gruppo guidato da Marissa Mayer era ed è ancora un player fondamentale del web col suo miliardo di utenti nel mondo. Negli Stati Uniti è la terza piattaforma per visitatori unici mensili a quota 204 milioni, in Italia sono 3,2. Tumblr, la piattaforma via di mezzo fra social e blog che Yahoo dice non essere coinvolta in quel carico da 500 milioni di utente, conta 555 milioni di utenti attivi al mese. Più di Twitter, per capirci. Nel nostro Paese sono otto milioni. Flickr, il suo album fotografico, muove 112 milioni di utenti.

Ironia della sorte, proprio Yahoo aveva lanciato lo scorso anno la rivoluzione dell'”addio alla password”. Si chiama Account Key ed è un sistema a doppia autenticazione per ottenere una notifica push su un’app dello smartphone (a sua volta preventivamente verificato) per accedere alla casella di posta elettronica. Bisogna ovviamente attivarlo non solo su Yahoo ma su tutti i servizi che lo offrono, come quello di Poste Italiane per lavorare sul conto o sulle carte in mobilità.

Dato che nel bottino dei dati trafugati ci sarebbero anche le domande e le risposte di sicurezza utili al ripristino dell’account e al recupero della password, è necessario cambiare anche quelle utilizzando risposte non prevedibili né facilmente immaginabili. Meglio se casuali. In realtà Yahoo le ha già invalidate obbligando a reimpostarle, così come le password degli utenti coinvolti, invitando tutti gli altri a modificarle per precauzione.

Fra gli altri suggerimenti, alcuni dei quali forniti direttamente da Yahoo, quello di fare attenzione alle email che si riceveranno in questi giorni. C’è modo di verificare il contenuto di quella originale inviata dal gruppo, tenendo in considerazione che le comunicazioni sfoggiano sempre un’icona della Y su fondo viola quando visualizzate tramite web client, cioè dal sito o da Yahoo Mail. In ogni caso l’email non contiene link o allegati. Oltre a modificare la password bisogna infine tenere d’occhio il proprio account. Ma forse quello avrebbe dovuto farlo un po’ meglio proprio Yahoo.