David Emm, Principal Security Researcher di Kaspersky Lab, ha commentato la notizia del furto delle informazioni personali di circa un miliardo di utenti Yahoo.
David Emm
Yahoo! ha annunciato di essere stata vittima di un’altra violazione della sicurezza e che sono state rubate informazioni personali di circa un miliardo di account degli utenti. Ci sono stati diversi casi quest’anno di dichiarazioni retroattive in merito a violazioni, che sono però di poco aiuto ai clienti che ne sono stati vittime. Questo evidenzia la necessità di regolamentazioni. Si spera che la GDPR (General Data Protection Regulation) che entrerà in vigore a maggio 2018 motiverà le aziende a prendere innanzitutto provvedimenti per tenere al sicuro i dati degli utenti sui propri server e, in secondo luogo, ad avvertire degli attacchi in modo tempestivo.
I clienti che ripongono i propri dati personali nelle mani di un’azienda dovrebbero poter contare sul fatto che siano tenuti al sicuro. Mentre le soluzioni di sicurezza riducono significativamente il rischio che un attacco abbia successo, esistono anche altre misure che le aziende possono prendere per fornire una protezione completa. Queste misure includono l’avere software totalmente aggiornati, condurre regolarmente audit di sicurezza del codice del sito e test di penetrazione dell’infrastruttura. È fondamentale che le aziende garantiscano la protezione di tutte le password, usando misure sicure come l’hashing e il salting degli algoritmi. Il modo migliore per le aziende di combattere queste tipologie di cyber attacchi è avere, fin dall’inizio, una strategia di cyber sicurezza efficace prima di diventare un bersaglio.
I clienti non hanno controllo sulla sicurezza dei propri provider online ma possono ridurre il rischio di violazioni, ad esempio usando password uniche e complesse per ciascun account. L’utilizzo da parte degli utenti delle stesse password e gli stessi dettagli personali per diversi account online rappresenta un problema crescente. Questo significa che se le loro informazioni sono state compromesse da un attacco potrebbero riceverlo anche sugli altri account. Consigliamo inoltre agli utenti, quando il provider lo consente, di avvalersi dell’autenticazione a due fattori.