Nel settembre 2016, Yahoo ha rivelato un hack che ha compromesso 500 milioni di account utente. A dicembre, l’azienda ha rivelato un altro hack, questa volta colpendo un record di 1 miliardo di account. Martedì, Yahoo ha aggiornato quel numero a tutti i 3 miliardi di account dei suoi servizi.

E sì, questo include il tuo.

L’hack ha esposto nomi, indirizzi e-mail, numeri di telefono, date di nascita, password criptate e domande di sicurezza non criptate. Ecco cosa puoi fare ora per proteggerti.

Entra nel tuo account Yahoo

Questo potrebbe sembrare ovvio, ma se sei come molte persone, potresti non usare Yahoo Mail come tuo account di posta principale. Yahoo ha 1 miliardo di utenti attivi mensili sui suoi servizi in generale e solo 225 milioni di utenti attivi mensili per il suo servizio Yahoo Mail, secondo le cifre che la società ha dato a CNET nel mese di giugno.

Quindi controllate l’email affiliata al vostro account Yahoo se non l’avete già fatto. Yahoo ha iniziato a inviare notifiche agli utenti, e dovresti riceverne una a quell’account se sei stato colpito dalla violazione dei dati.

Cambia la tua password

Se non hai cambiato la tua password da qualche anno, fallo — ora. L’azienda dice che le password che gli hacker hanno rubato erano criptate — strapazzate con uno strumento chiamato bcrypt. Questo tipo di crittografia può potenzialmente essere rotto con sufficiente persistenza, ha detto Brett McDowell, direttore esecutivo della FIDO Alliance, un gruppo no-profit che controlla i sistemi di login. Gli utenti di Yahoo con password relativamente deboli o ovvie dovrebbero prendere le precauzioni raccomandate.”

Ti sto guardando, “passw0rd.”

Chiediti: “Ho usato questa password da qualche altra parte?”

È un’abitudine comune. Usare la stessa password per molti account diversi. Se questa violazione ha qualcosa da insegnarvi, è che questa è una pessima idea.

Se avete riciclato la vostra password di Yahoo su un altro account, andate a cambiare la password anche su quell’account. Gli hacker che hanno la tua password potrebbero facilmente provarla su un mucchio di siti web diversi — pensa ai siti web delle banche o dell’assicurazione sanitaria — per cercare di accedere alle informazioni al di là del tuo account Yahoo.

Non permetterglielo.

Cambia le tue domande e risposte di sicurezza — ovunque

Da quando la violazione ha esposto domande di sicurezza che non erano criptate, cambiale. Se hai usato le stesse domande di sicurezza per altri siti o servizi, cambia anche quelle. E se non siete sicuri, cambiatele comunque.

È un mal di testa, ma farlo potrebbe risparmiarvi un enorme inconveniente in futuro. Le domande di sicurezza sono spesso utilizzate per verificare l’identità e ottenere l’accesso all’account, senza l’aiuto della verifica via email.

Alcuni esperti di sicurezza arrivano a raccomandare di creare risposte casuali e uniche a domande di sicurezza come “Dov’è nata tua madre?” poiché, spesso, questa informazione è facile da scoprire. Questa è un’aspettativa elevata per la maggior parte delle persone normali, quindi invece…

Abilita la verifica in due passaggi

Se hai intenzione di mantenere il tuo account Yahoo, abilita la verifica in due passaggi. È una delle migliori forme di sicurezza dell’account ampiamente disponibili su siti come Yahoo. La verifica in due passaggi significa che dopo aver effettuato il login con la tua password (come al solito) Yahoo ti invierà un codice di sicurezza, che inserirai nel passaggio successivo.

In questo modo, solo qualcuno che ha accesso di persona al tuo telefono (tu) può accedere al tuo account — anche se la password inserita era corretta.

Come per cambiare le domande di sicurezza su tutti i servizi, prendetevi il tempo di abilitare la verifica in due passaggi su altri siti web, come Facebook, Google, Twitter e così via.

Pensaci due volte prima di cancellare gli account

Sì, si è tentati di volersi lavare le mani e tagliare i legami con Yahoo dopo una violazione così evidente. Ma farlo può effettivamente aprirti a ulteriori problemi di sicurezza. Questo perché l’eliminazione del tuo account permette a Yahoo di riciclare il tuo vecchio indirizzo email – permettendo così a qualcuno di spammare ogni sito che riesce a trovare con richieste di “password dimenticata” e/o altrimenti impersonarti usando un alias conosciuto (anche se non aggiornato).

Meglio lasciare l’account inattivo – ma con la verifica in due fasi attivata.

Originariamente pubblicato il 23 settembre 2017.

Aggiornamento, 3 ottobre alle 7:58 p.m. PT: aggiunge il contesto sulla cancellazione dell’account.

Aggiornamento, 3 ottobre alle 2:10 p.m. 3 alle 14:10 PT: Aggiunge nuove informazioni sull’hack di Yahoo.

iHate: CNET guarda come l’intolleranza sta prendendo il controllo di internet.

È complicato: Questo è il dating nell’era delle app. Ti stai già divertendo?