Controllare se l'account Yahoo è stato hackerato e metterlo in sicurezza

Cosa è successo a Yahoo, come controllare se il nostro account Yahoo Mail è stato hackerato e cosa fare per metterlo in sicurezza

Yahoo è stato hackerato!
La notizia è ormai su tutti i giornali del mondo non solo perchè Yahoo rimane (ancora per poco se continua così) una delle aziende del web più grandi e importanti, ma soprattutto per la dimensione di questo hack che, come confermato da Yahoo stessa, riguarda ben 500 milioni di account rubati. (che è un record assoluto nella storia).
Oggi, chi apre Yahoo Mail, può trovare anche un messaggio sullo schermo che avvisa riguardo "un problema di sicurezza" dell'account e l'invito a cliccare un link che porta a una pagina in inglese che spiega nel dettaglio l'accaduto e le possibili conseguenze.
Per chi ancora non lo sapesse, a fine 2014 sono stati rubati da hacker, aiutati e spinti dalle autorità di un non precisato Stato (si dice State-sponsored actors), informazioni sugli account utente di Yahoo Mail.
Le informazioni, in vendita nel Dark Web al prezzo di 3 Bitcoin (che valgono 1800 Dollari), includono indirizzi Email, nomi numeri di telefono, date di nascita, hash delle password (metodo di decrittazione bcrypt) ed anche, e questo è molto grave, le domande e risposte di sicurezza che servono a recuperare le password.
Cosa significa per noi questo hack a Yahoo?
I motivi di preoccupazione, per tutti coloro che avevano un account Yahoo Mail in quel periodo e che lo hanno tuttora, sono tre.

Il primo, il più ovvio, è la possibilità che i dati di accesso all'account Email Yahoo siano stati compromesso, soprattutto perchè tra le informazioni sono presenti le domande di sicurezza del recupero password nel caso venisse dimenticata.
La domanda di sicurezza è quella che imposta l'utente in fase di registrazione, con una risposta che dovrebbe sapere solo lui: ad esempio, "come si chiamava la tua insegnante alle elementari?".
Quella della domanda di sicurezza è una vecchia pratica che viene sempre sottovalutata dagli utenti e che, a conti fatti, lascia sempre aperta una falla clamorosa per ogni account che ne fa uso.
Va da se che, a prescindere da ogni verifica, chiunque utilizzi Yahoo Mail (o qualsiasi altro servizio Yahoo come Flickr), deve ora aprire la pagina del suo account personale, cambiare immediatamente la password e disattivare la possibilità di recupero tramite domanda di sicurezza.
Aprire quindi Yahoo Mail, cliccare sull'icona ingranaggio in alto a destra ed andare in Info Account per accedere alla pagina della sicurezza dove modificare password e disattivare la domanda.
Inoltre, se non era già stato fatto prima, attivare anche la verifica con due passaggi in modo che ad ogni accesso da un nuovo computer o telefono sia anche richiesto un codice variabile da ricevere via SMS.

Il secondo problema, quello più grave e che avevo già spiegato in passato in un articolo su come si rubano le password degli account, è che, se nella liste ormai diffuse online, sono associati indirizzi Email e password, per altri hacker sarà un gioco da ragazzi andare a provare quelle password in altri account web dov'è stata utilizzata quella Email per la registrazione.
Pertanto, se è stata utilizzata la stessa password di Yahoo Mail anche per altri account web, allora anche questi sono in pericolo e vanno subito messi in sicurezza modificando la password.
Questa volta, prima di farlo, leggere la guida su come cambiare password in modo sicuro e, soprattutto, evitare di usare la stessa password per tutti gli account web.

Dopo aver cambiato le password in modo corretto, si può controllare se l'indirizzo Email è nelle liste di account rubati grazie a siti come breachalarm.com o haveibeenpwned.com che organizzano le varie liste messe in circolazione dagli hacker e permettono di fare una ricerca veloce.
Non credo che, al momento, questi siti abbiano già aggiornato il loro database con i 500 milioni di account Yahoo rubati, ma è comunque buona cosa fare lo stesso un controllo oggi.

Per finire c'è il terzo motivo di preoccupazione, che è il peggiore di tutti.
Se davvero sono stati diffusi nomi, cognomi, email, numeri di telefono ecc., anche se il nostro account Yahoo non fosse stato violato e fosse messo al sicuro, qualsiasi criminale informatico può adesso creare un profilo falso con i nostri dati anagrafici e rubare facilmente la nostra identità.
Yahoo, inoltre, si è rivelata un'azienda non affidabile visto il ritardo con cui ha confermato l'hack, di cui già si parlava a fine Giugno.
Dispiace molto che un marchio così storico per il web stia finendo così in basso, mal gestito e ormai incontrollato, da rimanere indignati.

Se si volesse cancellare per sempre l'account Yahoo perchè non più in uso, allora si può aprire questa pagina, inserire la password e confermare la cancellazione.