0x9 — Yahoo!
Prima di esaminare le vicende, cerchiamo di inquadrare l’azienda di cui parliamo: Yahoo! è un’azienda multinazionale di tecnologia, con sede in California, che fornisce diversi servizi, tra cui, forse, i due più conosciuti sono l’omonimo servizio di mail ed il motore di ricerca Yahoo! Search. Il suo portale, che svolge la funzione di aggregatore di notizie e contenuti multimediali, è uno dei più visitati al mondo.
Per farsi un’idea sul valore economico di quest’azienda, gestita da Marissa Mayer, che era un’ex dirigente presso Google, basti pensare all’offerta di acquisto che Verizon, famosa azienda di comunicazione, aveva fatto il 25 Luglio del 2016: $4.8 miliardi.
Fin qui, sembrano solo esserci segnali positivi per Yahoo!
Purtroppo, però, il 22 Settembre 2016 le solide pareti dell’azienda iniziano a vacillare. In un comunicato, Yahoo! rivela di aver subito un attacco hacker nel 2014, quindi risalente a ben 2 anni prima. In questo attacco sono state sottratte informazioni personali dagli account degli utenti come numeri di telefono, password crittografate, date di nascita, nomi e cognomi, e, in alcuni casi, persino le risposte alle domande di sicurezza per resettare le password. Gli account compromessi sono almeno 500 milioni.
E’ il più grande furto di dati di accesso di cui si abbia conoscenza.
La notizia di una probabile intrusione da parte di hacker era già circolata ad Agosto ma l’azienda non aveva avviato la procedura di reset automatico delle password. Quest’attacco ha quindi svelato un grave problema di gestione della sicurezza da parte di Yahoo!.
Alcuni dipendenti, che si occupavano di sicurezza informatica presso l’azienda, contatti dal New York Times, hanno rivelato le difficoltà incontrate nel cercare di risolvere i problemi legati alla sicurezza. Il team di Marissa Mayer ha vietato di notificare un reset automatico delle password perché temevano che questa manovra avrebbe allontanato gli utenti dal servizio di mail. Paradossalmente, ora, rischiano di ottenere lo stesso pessimo risultato.
In precedenza, inoltre, anche le richieste di introdurre la crittografia end-to-end per proteggere tutto il sistema di Yahoo! sono state rifiutate da parte di Mayer.
Come se non bastasse questo attacco, che ha messo in discussione la sicurezza dei servizi forniti da Yahoo, la situazione è drammaticamente peggiorata il 4 Ottobre 2016.
Secondo un’inchiesta di Reuters, nel 2015, su richiesta di un’agenzia di intelligence americana, Yahoo! ha introdotto un sistema che analizza tutte le mail alla ricerca di una specifica traccia digitale che l’intelligence ritiene essere collegata con un gruppo terroristico.
Secondo un successivo articolo del New York Times, Yahoo! non avrebbe ideato un software appositamente per questa attività ma avrebbe semplicemente riadattato il suo filtro anti-spam.
Dal momento che questa richiesta è stata effettuata attraverso un Foreign Intelligence Surveillance Act tutte le informazioni al riguardo sono segrete per legge e Yahoo! non ha potuto rivelare molto di più.
L’invasività di questa richiesta è allarmante: tutte le mail nei server di Yahoo! venivano analizzate in tempo reale. Non si trattava, quindi, di un software che analizza dei dati salvati in un database. Anche in questo caso il team della sicurezza ha dovuto fare i conti con il volere di Marissa Mayer: il capo del dipartimento di sicurezza, Alex Stamos, si era dimesso dopo aver scoperto che Mayer aveva accettato di obbedire alla richiesta dell’intelligence ed inoltre Marissa aveva tenuto all’oscuro di tutto l’intero team della sicurezza informatica. Questi ultimi avevano scoperto a Maggio 2015, due mesi dopo che il programma era iniziato, l’esistenza di questo sistema di analisi.
Queste due recenti notizie minano inesorabilmente la credibilità di Yahoo!. Se nel caso degli account hackerati si tratta di scarsa considerazione della sicurezza da parte dei dirigenti, nel caso del sistema di analisi delle mail si tratta invece di una grave violazione dei diritti degli utenti. In principio fu Gmail ad aprire l’accesso alla scansione delle mail per raccogliere informazioni a fini pubblicitari. Da lì poi si è passati ad applicare filtri che individuano contenuti pedopornografici ed ora si è giunti alle tracce di gruppi terroristici. Tutti sistemi che analizzano il contenuto delle nostre mail che in realtà dovrebbe essere mantenuto segreto. Questo è quindi uno dei risultati del sadico compromesso fra la tecnologia e la nostra sicurezza. Marissa Mayer avrebbe dovuto almeno tentare di opporsi alle richieste di questa agenzia di intelligence, di cui ancora non si conosce l’identità esatta (FBI? NSA? Non si sa), come ad esempio aveva fatto invece Apple quando le era stato richiesto di creare un software per sbloccare l’iPhone della strage di San Bernardino.
E’ vero, tecnicamente un tale sistema di analisi delle mail non vuol dire che un essere umano sta leggendo ogni singola parola dei nostri scambi, però dovrebbe essere necessario un mandato per leggere il contenuto delle comunicazioni di un singolo individuo e non una richiesta segreta che obbliga ad analizzare indiscriminatamente tutte le comunicazioni.
