Il 14 dicembre 2016, sulla base dell’analisi dei file di dati forniti dalle forze dell’ordine, Yahoo ha annunciato la possibilità concreta di un furto di dati associati agli account di determinati utenti messo in atto da una parte non autorizzata ad agosto 2013. Oltre a pubblicare un avviso sul suo sito web e a emettere un comunicato stampa, Yahoo ha inviato una notifica agli utenti potenzialmente interessati. Di recente abbiamo ricevuto ulteriori informazioni in merito e, dopo averle analizzate con l’aiuto di esperti esterni di scienze forensi, abbiamo identificato gli altri account utente interessati. Pertanto, stiamo procedendo a informare gli utenti di tali account.

Sulla base dell’analisi delle informazioni con l’aiuto di esperti forensi indipendenti, Yahoo ha determinato che tutti gli account esistenti al momento del furto di dati in agosto 2013 sono stati potenzialmente interessati.

È importante tenere presente che, in riferimento all’annuncio di Yahoo di dicembre 2016 relativo al furto di agosto 2013, Yahoo ha intrapreso una serie di azioni per proteggere tutti gli account. L’azienda ha richiesto la modifica delle password a tutti gli utenti che non le avevano cambiate dal momento del furto. Yahoo ha inoltre reso non più valide le domande e le risposte di sicurezza non crittografate in modo che non possano più essere utilizzate per accedere a un account.

Per gli account interessati, i dati degli account utente rubati potrebbero includere nomi, indirizzi email, numeri di telefono, date di nascita, password cifrate (utilizzando MD5) e in alcuni casi, domande di sicurezza crittografate e non crittografate. Le indagini indicano che i dati rubati non includevano password con testo in chiaro, dati delle carte di credito o dei conti bancari. I dati delle carte di credito e dei conti bancari non sono archiviati nel sistema che l’azienda ritiene sia stato interessato.

Sì, non si tratta di un nuovo incidente. La notifica del mese di ottobre 2017 è relativa allo stesso furto di dati annunciato da Yahoo il 14 dicembre 2016.

Yahoo ha già avvisato gli account utente che ritiene siano stati interessati dai cookie contraffatti. Non è previsto l’invio di altre notifiche relative ai cookie contraffatti in relazione con il presente aggiornamento. Alcuni degli altri account utente che stiamo informando adesso in merito al furto di dati dell’agosto 2013 potrebbero essere stati avvisati in precedenza dell’attività di contraffazione dei cookie nel caso in cui Yahoo ritenga che siano stati utilizzati o rubati cookie contraffatti associati ai loro account.

L’hashing è una funzione matematica unidirezionale che converte una stringa originale di dati in una serie apparentemente casuale di caratteri. Pertanto, le password che sono state cifrate (hashed), non possono essere riconvertite nel testo in chiaro della password originale. Quando si è verificato l’incidente dell’agosto 2013, utilizzavamo MD5 per l’hash delle password. Yahoo ha iniziato il passaggio del sistema di protezione delle password a bcrypt nell’estate del 2013. Bcrypt è un meccanismo di hashing delle password che include funzioni di sicurezza, tra cui il “salting” e numerosi passaggi di calcolo, per fornire una protezione avanzata contro la violazione delle password.

Clicca qui per visualizzare il contenuto dell’avviso che abbiamo inviato agli utenti potenzialmente interessati. Tieni presente che nelle email inviate da Yahoo su questo problema compare l’icona Yahoo quando vengono aperte sul sito web di Yahoo o nell’app Yahoo Mail. Importante: nelle email non viene chiesto di cliccare su alcun link né contengono allegati e non ti viene chiesto nessun dato personale. Se in un’email ricevuta relativa a questo problema ti viene chiesto di cliccare su un link, scaricare un allegato o di fornire dati, allora l’email non è stata inviata da Yahoo e potrebbe essere un tentativo di rubare i tuoi dati personali. Evita di cliccare sui link o scaricare allegati da tali email sospette.

In relazione all’annuncio di dicembre 2016, Yahoo ha intrapreso una serie di misure per proteggere gli utenti oltre quelli allora identificati come potenzialmente interessati. In particolare:

• Yahoo ha chiesto agli utenti potenzialmente coinvolti di cambiare le loro password.
• Inoltre, Yahoo ha richiesto la modifica delle password anche a tutti gli altri utenti che non le avevano cambiate dal momento del furto.
• Yahoo ha inoltre reso non più valide le domande e le risposte di sicurezza non crittografate in modo che non possano più essere utilizzate per accedere all’account.

Stiamo lavorando al problema in stretta collaborazione con le forze dell’ordine e continuiamo a migliorare la nostra sicurezza e i nostri sistemi preposti a rilevare e impedire l’accesso non autorizzato agli account degli utenti.

Puoi cambiare la password di Yahoo o disattivare le tue domande e risposte di sicurezza cliccando qui. In relazione all’annuncio di dicembre 2016, abbiamo richiesto la modifica della password agli utenti che non le avevano cambiate dal momento del furto. Abbiamo annullato le domande e le risposte di sicurezza non crittografate in modo che non possano più essere utilizzate per accedere all’account.

Sebbene Yahoo sia già intervenuto per aiutare a proteggere l’account, consigliamo ai nostri utenti di mettere in atto i seguenti consigli per la sicurezza dell’account:

• Cambia la password, le domande e le risposte di sicurezza di altri account che hai utilizzato e che hanno gli stessi dati usati per Yahoo Account.
• Controlla la presenza di attività sospette negli account.
• Fai attenzione a eventuali comunicazioni non richieste che ti chiedono dati personali o rimandano a una pagina web in cui ti viene chiesto di inserire dati personali.
• Evita di cliccare su link o di scaricare allegati da email sospette.

Inoltre, valuta se utilizzare la Chiave account di Yahoo , un semplice strumento di autenticazione che elimina definitivamente la necessità di usare una password per Yahoo.

Anche se i dati dell’account rubato non contenevano password, dati della carta di pagamento o conti bancari, ti invitiamo a prestare attenzione e a controllare i tuoi estratti conto e la tua posizione nei sistemi di informazioni creditizie.

Per ulteriori informazioni sulla protezione dei tuoi dati personali, puoi contattare l’ufficio del Garante per la protezione dei dati (Data Protection Commissioner, DPC) in Irlanda, che è l’autorità di regolamentazione di Yahoo! EMEA Limited, il tuo fornitore di servizi di Yahoo Mail. Di seguito sono riportati i dati di contatto del DPC:

Data Protection Commissioner
Canal House
Station Road
Portarlington
R32 AP23 Co. Laois
Irlanda
https://www.dataprotection.ie/docs/Contact-us/b/11.htm

In alternativa, puoi contattare l’autorità per la protezione dei dati locale (Data Protection Authority) alla pagina http://www.garanteprivacy.it/web/guest/home per scoprire maggiori informazioni su come proteggere i tuoi dati personali.

Se ti servono ulteriori informazioni o aiuto per il tuo account, visita la pagina it.aiuto.yahoo.com , dove troverai le ultime informazioni e potrai accedere direttamente all’assistenza clienti. NON USARE altri servizi di assistenza al di fuori di quelli forniti da Yahoo, in particolare quelli che ti chiedono di pagare per il servizio offerto. Yahoo non fa pagare per il servizio di assistenza degli account. Tieni presente che per i canali di Yahoo il supporto è tramite it.aiuto.yahoo.com.