Nel novembre 2016 le forze dell'ordine hanno fornito a Yahoo dei file di dati che una terza parte sosteneva fossero dati utente di Yahoo. Abbiamo analizzato i dati in questione grazie all'aiuto di esperti forensi indipendenti e abbiamo scoperto che sarebbero dati utente di Yahoo. In base a ulteriori analisi di questi dati condotte da esperti forensi, riteniamo che nell'agosto 2013 terze parti non autorizzate abbiano rubato dati associati a oltre un miliardo di account utente. Yahoo non è stato in grado di individuare la violazione della sicurezza associata al furto in questione. Crediamo che questo furto sia un evento distinto rispetto a quello da noi segnalato il 22 settembre 2016. Stiamo segnalando il problema agli utenti potenzialmente interessati e implementando ulteriori passaggi per proteggerne gli account, inclusa la richiesta agli utenti di cambiare le password. Yahoo ha inoltre annullato le domande e le risposte di sicurezza non crittografate in modo che non possano più essere utilizzate per accedere all'account.

In parallelo, i nostri esperti forensi indipendenti hanno condotto indagini sulla creazione di cookie contraffatti che consentono di accedere agli account degli utenti senza essere in possesso della password. In base all'indagine in corso, gli esperti forensi indipendenti hanno individuato gli account utente per i quali ritengono che i cookie contraffatti siano stati sottratti o utilizzati nel 2015 o nel 2016. L'azienda sta informando i titolari degli account interessati e ha annullato i cookie contraffatti. Abbiamo attribuito alcune di queste attività allo stesso attore esterno appoggiato da uno stato che riteniamo responsabile per il furto di dati da noi segnalato il 22 settembre 2016.

Stiamo informando gli utenti potenzialmente interessati e pubblicando ulteriori informazioni sul nostro sito web. Inoltre, stiamo implementando ulteriori passaggi per proteggere gli account degli utenti, inclusa la richiesta di cambiare le password. Yahoo ha inoltre annullato le domande e le risposte di sicurezza non crittografate in modo che non possano più essere utilizzate per accedere all'account.

In base all'indagine in corso, gli esperti forensi indipendenti hanno individuato gli account utente per i quali ritengono che i cookie contraffatti siano stati sottratti o utilizzati nel 2015 o nel 2016. L'azienda sta informando i titolari degli account interessati e ha annullato i cookie contraffatti.

Per gli account potenzialmente interessati, i dati degli account utente rubati potrebbero includere nomi, indirizzi email, numeri di telefono, date di nascita, password cifrate (utilizzando MD5) e, in alcuni casi, domande e risposte di sicurezza crittografate e non crittografate. Le indagini indicano che i dati rubati non includono password con testo in chiaro, dati di carte di pagamento o dati relativi a conti bancari. Infatti, nel sistema che l'azienda ritiene sia stato interessato non vengono archiviati dati di carte di pagamento o dati relativi a conti bancari.

L'hashing è una funzione matematica unidirezionale che converte una stringa originale di dati in una serie apparentemente casuale di caratteri. Pertanto, le password che sono state cifrate (hashed), non possono essere riconvertite nel testo in chiaro della password originale. Al momento della violazione dell'agosto 2013 utilizzavamo MD5 per l'hash delle password. Nell'estate del 2013 abbiamo iniziato il passaggio a bcrypt del nostro sistema di protezione delle password. Bcrypt è un meccanismo di hashing delle password che include funzioni di sicurezza, tra cui il "salting" e numerosi passaggi di calcolo, per fornire una protezione avanzata contro la violazione delle password.

I cookie contraffatti potrebbero consentire ai malintenzionati di accedere agli account degli utenti senza disporre della password. In base a un'indagine in corso di Yahoo, riteniamo che terze parti non autorizzate abbiano effettuato l'accesso al nostro codice proprietario per scoprire come falsificare i cookie. Gli esperti forensi indipendenti hanno individuato gli account utente per i quali ritengono che i cookie contraffatti siano stati sottratti o utilizzati. L'azienda sta informando i titolari degli account interessati e ha annullato i cookie contraffatti.

Un cookie rappresenta una piccola porzione di informazione conservata in un computer con lo scopo di individuare un browser durante l'interazione con i siti web. I siti web usano i cookie per ricordare e riconoscere informazioni relative ai visitatori, ad esempio le preferenze di navigazione. Clicca qui per maggiori informazioni sulle pratiche di Yahoo riguardanti i cookie e tecnologie simili.

Crediamo che il furto dell'agosto 2013 sia un evento distinto rispetto a quello da noi segnalato il 22 settembre 2016.

Abbiamo attribuito alcune delle attività di contraffazione dei cookie allo stesso attore esterno appoggiato da uno stato che riteniamo responsabile del furto di dati da noi segnalato il 22 settembre 2016. Agli utenti oggetto dell'attacco da parte dell'attore in questione è stata inviata un'ulteriore notifica come quella disponibile qui.

Clicca qui per visualizzare il contenuto dell'avviso che abbiamo inviato agli utenti interessati. Tieni presente che nelle email inviate da Yahoo su questo problema compare l'icona Yahoo quando vengono aperte sul sito web Yahoo o dall'app Yahoo Mail. È importante sottolineare che le email non chiedono di cliccare su link, non contengono allegati e non richiedono i tuoi dati personali. Se in un'email ricevuta relativa a questo problema ti viene chiesto di cliccare su un link, scaricare un allegato o fornire dati, allora l'email non è stata inviata da Yahoo e potrebbe essere un tentativo di rubare i tuoi dati personali. Evita di cliccare sui link o di scaricare gli allegati delle email sospette.

Abbiamo intrapreso azioni per proteggere i nostri utenti, tra cui:

• Chiediamo agli utenti potenzialmente coinvolti di cambiare le loro password.
• abbiamo annullato le domande e le risposte di sicurezza non crittografate in modo che non possano più essere utilizzate per accedere all'account;
• Abbiamo annullato i cookie contraffatti e rafforzato i nostri sistemi per renderli più sicuri nel caso di attacchi simili.
• Miglioriamo continuamente le nostre difese e i nostri sistemi che rilevano e impediscono accessi non autorizzati agli account utente.

Puoi modificare la password di Yahoo o le domande e le risposte di sicurezza cliccando qui. Chiediamo agli utenti potenzialmente interessati di cambiare le loro password e abbiamo annullato le domande e le risposte di sicurezza non crittografate in modo che non possano più essere utilizzate per accedere all'account.

Consigliamo a tutti i nostri utenti di seguire i suggerimenti per la sicurezza riportati di seguito:

• Cambia la password e le domande e risposte di sicurezza di altri account che hai utilizzato e che hanno gli stessi dati usati per Yahoo Account.
• Verifica la presenza di attività sospette in tutti i tuoi account.
• Fai attenzione a comunicazioni indesiderate in cui ti vengono chiesti dati personali o che ti indirizzano a una pagina web in cui vengono chiesti dati personali.
• Evita di cliccare sui link o di scaricare gli allegati delle email sospette.

Inoltre, valuta la possibilità di passare alla verifica in due passaggi, uno strumento di autenticazione facile da usare e più sicuro che richiede un codice di verifica oltre alla password.

Anche se i dati degli account interessati non contenevano password con testo in chiaro, dati di carte di pagamento o dati relativi a conti bancari, ti invitiamo a prestare attenzione e a controllare i tuoi estratti conto e la tua posizione nei sistemi di informazioni creditizie. Di seguito sono riportati i dati di contatto delle tre agenzie nazionali di valutazione del credito al consumo presso le quali puoi ottenere la tua posizione nei sistemi di informazioni creditizie.

Per proteggerti da eventuali furti di identità, ti consigliamo di inserire un avviso di frode nella tua posizione nei sistemi di informazioni creditizie. Puoi anche impostare un "blocco di sicurezza" (noto anche come "congelamento del credito") nella tua posizione nei sistemi di informazioni creditizie. I blocchi di sicurezza sono progettati per impedire ai potenziali creditori di accedere alla tua posizione nei sistemi di informazioni creditizie delle agenzie di valutazione del credito al consumo senza il tuo consenso. Possono essere previste spese per l'inserimento, la sospensione e/o la rimozione di un blocco di sicurezza, che in genere variano da 5 a 20 $ per azione. A differenza di un avviso di frode, devi inserire un blocco di sicurezza nella tua posizione nei sistemi di informazioni creditizie di ciascuna agenzia di valutazione del credito al consumo. Per ulteriori informazioni sul blocco di sicurezza, puoi contattare le tre agenzie nazionali di valutazione del credito al consumo o la FTC come descritto in precedenza. Poiché le istruzioni per impostare un blocco di sicurezza variano da uno Stato all'altro, contatta le tre agenzie di valutazione del credito al consumo per maggiori informazioni.

Prima di elaborare la tua richiesta, le agenzie di valutazione del credito al consumo potranno richiedere un documento d'identità idoneo. Ad esempio, potranno chiederti di fornire:

• il tuo nome e cognome, compresa l'iniziale del secondo nome e la generazione (ad esempio Jr., Sr., II, III);
• il tuo codice fiscale;
• la tua data di nascita;
• gli indirizzi in cui hai vissuto negli ultimi cinque anni;
• una copia leggibile di un documento d'identità ufficiale (ad esempio la patente di guida o la CMD);
• una prova dell'attuale indirizzo di residenza (ad esempio una bolletta o un estratto conto).

Hai il diritto di ottenere un verbale della polizia e di richiedere il blocco di sicurezza come descritto in precedenza. Le agenzie di valutazione del credito al consumo potranno addebitarti un costo fino a 10 $ per impostare il blocco di sicurezza nel tuo conto e chiederti di fornire determinati dati personali (come nome, codice fiscale, data di nascita e indirizzo) e un documento d'identità idoneo (come una copia di un documento d'identità ufficiale e una bolletta o un estratto conto) prima di dare seguito alla richiesta di impostazione di un blocco di sicurezza. Tuttavia, non sono previste spese per l'inserimento, la sospensione o la rimozione di un blocco di sicurezza se sei stato vittima di furto di identità, nel qual caso devi fornire alle agenzie di valutazione del credito al consumo un verbale di polizia valido.

No. Il sistema dal quale sono stati rubati i dati nell'agosto 2013 non conteneva dati utente Tumblr al momento del furto. Inoltre, Yahoo non ha alcuna indicazione che i cookie contraffatti siano stati utilizzati per accedere agli account Tumblr.

Se ti servono ulteriori informazioni o assistenza per il tuo account, visita it.aiuto.yahoo.com, dove troverai le informazioni più recenti e potrai accedere direttamente al servizio di assistenza clienti. NON USARE altri servizi di assistenza al di fuori di quelli forniti da Yahoo, in particolare quelli che ti chiedono di pagare per il servizio offerto. Yahoo non fa pagare per il servizio di assistenza dell'account. Tieni presente che i canali Yahoo supportano tutti it.aiuto.yahoo.com.