adv

Sarebbe stato arruolato da due ufficiali dei servizi russi. Marzo 2017. Il Dipartimento di giustizia americano comunicò la possibilità che alcuni gruppi di hacker, soprattutto provenienti dalla Russia o comunque di origine est-europea, avessero collaborato tra loro per inserirsi in centinaia di milioni di account Yahoo, per diversi anni.

La violazione avrebbe riguardato circa cinquecento milioni di account, violati tramite una directory privata che conteneva i nomi degli “user” clienti di Yahoo, ma anche le loro password e altri milioni di cosiddetti dati sensibili.

I dati raccolti venivano utilizzati per ingannare i sistemi del servizio, così che questi considerassero il browser web già “loggato” e l’accesso effettuato.

Scattò così una indagine dell’FBI (che proprio qualche tempo prima era finita insieme alla stessa Yahoo nell’occhio del ciclone, per aver ricevuto dalla multinazionale del web milioni di indirizzi mail, messaggi e allegati dei propri utenti), la cui accusa si concentrava principalmente sul furto del database degli utenti del servizio.

Secondo l’indagine, promotore dell’operazione criminosa sarebbe stato Alexsey Alexseyevich Belan, noto hacker russo, tra i principali cyber-criminali ricercati a livello internazionale dall’FBI. Belan avrebbe rubato l’accesso ad “almeno una porzione” dell’enorme database, all’interno del quale si trovavano nomi utente, password e altre informazioni riguardanti milioni di utenti web.

Un file, considerando l’enorme quantità di materiale soggetto a tutela della privacy, assolutamente privato e anzi, per questo motivo, segreto.

Secondo gli atti dell’indagine, la parte più delicata del database era quella relativa alle “informazioni richieste per creare manualmente i cookie di autenticazione per browser”.

Ma cerchiamo di capire meglio: quando accede a un sito web, ogni computer registra al suo interno un file, chiamato cookie, che contiene informazioni sull’utente, a cominciare dalla possibilità che in precedenza questi abbia già effettuato il log-in e se sì, attraverso l’utilizzo di quale account.

Al momento del ritorno dell’utente sul sito, il servizio controlla la presenza del cookie e verifica se è scaduto. Capita, in rete, che molti siti accettino accessi automatizzati, attraverso il cookie, per un periodo che può durare anche fino a un mese, arco di tempo dopo il quale il cookie può essere considerato definitivamente scaduto, tanto che per entrare bisognerà compiere nuovamente l’accesso.

Se il cookie non è scaduto, però, per la maggior parte dei siti internet l’accesso è invece garantito senza la richiesta di credenziali ulteriori, dal momento che servizio e computer stabiliscono in autonomia se l’utente stia utilizzando lo stesso computer e lo stesso browser.

Ecco  la truffa: gli hacker trovarono, infatti, il modo, nel caso di Yahoo, per forgiare i cookie del servizio, grazie ai dati rubati dal database. Per molto tempo crearono, in maniera indisturbata, tantissimi nuovi cookie, falsificando le informazioni di accesso di ogni account, senza dover così nemmeno avere il problema delle password.

Così facendo, gli accessi arrivarono a quasi settemila account “mirati” (come quelli di importanti politici e giornalisti, cosa che attirò, probabilmente, le attenzioni degli investigatori) e ad altre decine di milioni di utenti comuni, con l’intento di dar vita a campagne di spam capaci di far monetizzare la truffa.

Nel novembre 2017, passati otto mesi dalla web-spy-story,  Karim Baratov, ventidue anni, canadese originario del Kazckistan, arrestato proprio nel marzo precedente su richiesta delle autorità americane, chiese un colloquio ai magistrati del proprio paese. Si dichiarò colpevole, per l’aiuto fornito a due ufficiali del servizio di sicurezza federale russo (Dimitry Dokuchaev e Igor Suschin, accusati sempre a marzo assieme a Baratov) nell’ambito dell’enorme furto telematico di cui era stata oggetto Yahoo.

Secondo le dichiarazioni di Baratov, Dokuchaev e Suschin lo avrebbero arruolato, a pagamento, come vari altri hacker, perché accedesse ad alcuni account di posta elettronica. Almeno cinquanta tra questi sono hostati da Google, e tra loro figurano quelli riconducibili a importanti personalità della società civile e dell’ambito militare russo, da ufficiali dell’esercito fino a dirigenti di importanti aziende private.

Nonostante l’indagine scoprì una frode di enorme dimensioni e la violazione della privacy per milioni di persone, Baratov fu uno dei pochi colpevoli riconosciuti del reato ad essere finito in galera, anche perché la maggior parte degli altri sospettati risiedeva in Russia, e le uniche sanzioni che gli Stati Uniti potevano imporre, a meno di un intervento (allo stato attuale, naturalmente impossibile) da parte del governo locale, riguardava provvedimenti minimi come quelle di viaggio.

Dopo l’auto accusa dell’hacker canadese, ci si attendeva nuova evoluzione nelle indagini.

Quel che certo, però, è che, stando anche alle sue dichiarazioni, una operazione così massiccia e che ha messo irrimediabilmente a repentaglio i dati e la riservatezza di tante persone in tutto il mondo, apparve essere stata effettuata con una facilità disarmante.

Tutto troppo facile, per poter dormire sonni tranquilli, considerando la mole e la frequenza con cui facciamo rimbalzare, spesso senza nemmeno pensarci su, i nostri dati personali in rete.

Valentina Popolo