L'affermazione di Yahoo di hacker sponsorizzati dallo stato incontra lo scetticismo

Yahoo ha accusato la sua massiccia violazione dei dati di un "attore sponsorizzato dallo stato". Ma la società non sta dicendo perché è arrivata a quella conclusione. Né ha fornito alcuna prova.

Le domande persistenti fanno sì che alcuni esperti di sicurezza si chiedano perché Yahoo non offra maggiori dettagli su un hack che ha rubato informazioni sull'account da 500 milioni di utenti.

"Penso che ci sia molta pesca qui", ha dichiarato Michael Lipinski, capo stratega della sicurezza di Securonix.

Yahoo non ha risposto a una richiesta di commento. La società dispone di protocolli in grado di rilevare l'hacking sponsorizzato dallo stato negli account utente. In un post sul blog di dicembre 2015, la società ha delineato la sua politica, dicendo che avvertirà gli utenti quando questo è sospettato. 

"Al fine di impedire agli attori di apprendere i nostri metodi di rilevazione, non condividiamo pubblicamente alcun dettaglio su questi attacchi", ha scritto all'epoca il responsabile della sicurezza delle informazioni di Bob Bob Lord. Ha aggiunto che la società invia queste notifiche solo "quando abbiamo un alto grado di fiducia".

Tuttavia, incolpare una violazione di alto profilo degli hacker sponsorizzati dallo stato potrebbe anche essere una comoda scusa per ridurre la colpevolezza.

"Se voglio coprire il mio posteriore e far sembrare che io abbia una negabilità plausibile, direi 'attore di stato-nazione' in un batter d'occhio", ha detto Chase Cunningham, direttore delle operazioni informatiche presso il fornitore di sicurezza A10 Networks.

La percezione è che gli hacker sponsorizzati dallo stato siano inarrestabili e tra i migliori al mondo, ha aggiunto. Cunningham sospetta che i criminali informatici, e non un gruppo di élite appoggiato dal governo, possano effettivamente aver preso di mira Yahoo.

"Questo non puzza di attività dello stato-nazione", ha detto. "Gli stati-nazione sono alla ricerca della proprietà intellettuale. Non gliene frega niente delle e-mail e delle password di un account Yahoo."

La società Internet potrebbe anche trattenere i dettagli sulla violazione a causa di Verizon, che ha accettato di pagare 4,8 miliardi di dollari per acquistare Yahoo.

"Non sono sicuro che l'acquisizione di Verizon continuerà," ha affermato Lipinski di Securonix. Verizon, ad esempio, potrebbe dover sborsare altri milioni in contanti per far fronte alle conseguenze della violazione.

"Ma dare la colpa a un attore sponsorizzato dallo stato li aiuterà in qualche modo (Yahoo)", ha aggiunto. "Possono dire: 'Non è colpa nostra, la nostra assicurazione se ne occuperà.'"

Anche se Yahoo non ha fornito molte prove, altri esperti di sicurezza hanno anche affermato che è ancora molto probabile che gli hacker sponsorizzati dallo stato siano responsabili della violazione dei dati. Un governo potrebbe essere interessato a prendere di mira gli account di posta elettronica degli attivisti per i diritti umani, ad esempio. Oppure la violazione avrebbe potuto essere avviata da un addetto ai lavori, che in realtà era una spia.

Ci sono altri possibili motivi per cui Yahoo rifiuta i dati, ha aggiunto Vitali Kremez, analista del crimine informatico con la società di sicurezza Flashpoint.

"Le forze dell'ordine potrebbero indagare e loro (Yahoo) non vogliono mettere a repentaglio nulla", ha detto. "Potrebbero anche preparare procedimenti legali".

Yahoo ha affermato di aver appreso solo recentemente della violazione dei dati. Ma l'hacking si è effettivamente verificato alla fine del 2014, il che significa che gli autori avevano due anni per sfruttare segretamente i dati.

Se gli hacker sponsorizzati dallo stato hanno effettivamente preso di mira Yahoo, Kremez teme che anche altre aziende potrebbero essere state vittime - semplicemente non lo sanno. 

"Abbiamo bisogno di più trasparenza", ha detto Kremez. "Vorremmo tutti saperne di più per vedere se questo si adatta a uno schema più ampio."

Unisciti alle community di Network World su Facebook e LinkedIn per commentare argomenti che sono importanti.