A seguito di segnalazioni secondo cui Yahoo confermerà una violazione dei dati che riguarda centinaia di milioni di account, alcuni utenti hanno riferito giovedì su Twitter e altrove di essere stati invitati a cambiare la password e-mail quando tentavano di accedere.
Yahoo ha avviato un'indagine su una possibile violazione all'inizio di agosto dopo che qualcuno si è offerto di vendere un dump di dati di oltre 200 milioni di account Yahoo su un mercato sotterraneo, tra cui nomi utente, hash password facili da decifrare, date di nascita e indirizzi email di backup.
La società da allora ha stabilito che la violazione è reale e che è persino peggio di quanto inizialmente creduto, il sito web di notizie Recode ha riferito giovedì, citando fonti senza nome che hanno familiarità con l'indagine.
Mentre Yahoo deve ancora fare un annuncio e non ha risposto immediatamente a una richiesta di commento, la società ha spinto alcuni utenti a reimpostare le password nelle ultime 24 ore a causa di "attività sospette" sui loro account.
La richiesta di reimpostare le password potrebbe non essere direttamente collegata alla violazione dei dati segnalata. Ma una conferma della violazione ora, più di un mese e mezzo dopo che i dati sono stati messi in vendita, probabilmente porteranno domande sul perché la società ha aspettato così tanto tempo prima di costringere gli utenti a cambiare le loro password.
ALTRO SUL MONDO DI RETE: 6 semplici trucchi per proteggere le tue password"Se fosse davvero disponibile allora e Yahoo lo confermano solo ora, sarei davvero interessato al motivo per cui il ritardo è stato così lungo", ha detto Troy Hunt, un ricercatore di sicurezza che gestisce il sito Web di notifica della violazione dei dati Sono stato investito?.
L'utente che ha pubblicizzato i dati dell'account Yahoo su un sito Web sotterraneo utilizza l'handle online peace_of_mind ed è un noto venditore di informazioni rubate. In precedenza ha messo in vendita milioni di record di account da MySpace, LinkedIn, Tumblr e altri siti Web e per la maggior parte tali violazioni sono state confermate anche se si erano effettivamente verificate anni prima.
"Abbiamo visto LinkedIn, MySpace e tumblr [discariche di dati] risalenti a molti anni fa, ma che ora appaiono in vendita, quindi Yahoo potrebbe essere coerente con questo", ha detto Hunt via e-mail.
Dato il track record di Peace, il ricercatore ha affermato che non sarebbe stato sorpreso dal fatto che i dati fossero stati messi in vendita il mese scorso se si fossero rivelati autentici, anche se alcune persone si sono chieste se Peace avesse effettivamente le informazioni in quel momento.
È strano che nessuno sia riuscito a ottenere una copia del set di dati finora e abbia confermato la sua autenticità, almeno non pubblicamente, soprattutto perché è noto che Peace ha abbassato il suo prezzo nel tempo. Hunt ritiene che se questo dump di dati segue lo stesso modello di altri recenti, diventerà presto di dominio pubblico e sarà in grado di aggiungerlo a Sono stato investito.
Una conferma della violazione dei dati questa settimana arriverà dal momento in cui la vendita da parte di Yahoo di US $ 4,8 miliardi delle sue principali operazioni su Internet a Verizon è in fase di completamento; l'accordo deve ancora essere approvato dai regolatori.
Unisciti alle community di Network World su Facebook e LinkedIn per commentare argomenti che sono importanti.
