2016 da dimenticare per Yahoo che ha confermato non uno, ma ben due furti di dati separati dai propri sistemi: il primo in cui sono stati rubati 500 milioni di account, il secondo che ne ha coinvolti oltre un miliardo. Se la situazione del colosso di Marissa Mayer non fosse già compromessa, si aggiunge un nuovo problema per la compagnia: il NY Times scrive infatti che un database di circa un miliardo di account Yahoo è stato venduto sul Dark Web a 300 mila dollari.

Le informazioni sono state divulgate da Andrew Komarov, Chief Intelligence Officer della firma di sicurezza InfoArmor, che ha rivelato che alla base della grossa acquisizione ci sarebbero due nomi importanti nel mondo dello spam, e un altro che potrebbe essere coinvolto in tecniche di spionaggio. Presumibilmente i diversi gruppi hanno comprato il database al prezzo sopra menzionato da un gruppo di hacker con sede nell'Europa dell'Est.

La cifra potrebbe sembrare molto elevata, tuttavia bisogna porre l'attenzione sul fatto che individui potenzialmente pericolosi hanno speso poche centinaia di migliaia di dollari (cifra irrisoria per alcune realtà illegali) per ricevere il potere di minacciare più di un miliardo di persone: di fatto 0,0003 dollari per account per ricevere informazioni estremamente sensibili. Fra i dati sensibili infatti troviamo nomi completi, password, date di nascita, numeri telefonici.

E non solo, su alcuni account sono state rubate anche le domande e le risposte di sicurezza o gli indirizzi aggiuntivi per il backup dell'account. L'entità del furto è ancora più preoccupante se si considera che la maggior parte degli utenti utilizza le stesse credenziali d'accesso per accedere a molteplici servizi online, e che un miliardo di utenti (potenzialmente poco esperti) potrebbe essere vittima di e-mail o SMS di phishing con mire, ad esempio, sui loro account bancari.

Fra i dati rubati ci sono anche i dettagli di oltre 150 mila impiegati del governo americano e delle forze dell'ordine, con gli acquirenti del database che potrebbero addirittura trovare dei metodi per minacciare la sicurezza nazionale di parecchi stati del mondo. Yahoo non è ancora in grado di verificare le asserzioni dell'esperto di sicurezza, ma ha dichiarato che la FBI sta già indagando sull'ultima violazione annunciata.

Il database è comunque ancora in vendita, anche se i prezzi sono oggi molto inferiori. Da quando Yahoo ha imposto il reset delle password, infatti, il miliardo di account vale molto meno con offerte che partono da circa 20 mila dollari.