Tutto è partito dallo scoop della Reuters nel quale si rivela che Yahoo! avrebbe segretamente estratto dati dalle mail di centinaia di milioni di utenti per conto degli 007 dell’ Fbi e della National Security Agency. Quali mail interessavano allo spionaggio USA? Ricevute da quali utenti? Di quali contenuti era alla ricerca?
Non è azzardato ipotizzare che l’obiettivo dello spionaggio fosse di controllare ed estrapolare dati da tutte le mail in arrivo, allegati compresi. Ma di non fermarsi a quelle. Anzi accedere anche a quelle immagazzinate negli archivi di posta di ogni account registrato ai servizi di posta.
Alcune fonti riportano che Yahoo! si sarebbe opposta alla richiesta di accesso alle email già salvate e all’estrazione live di informazioni dagli account di alcuni utenti. Ma è facile immaginare la reazione dello spionaggio a un niet opposto in relazione a limitazioni così estese. Certamente l’opposizione di Yahoo! suonerebbe più credibile se motivata da impedimenti di natura tecnica. Per esempio l’impossibilità di procurarsi un software in grado di passare al setaccio miliardi di mail alla ricerca di una serie di parole chiave. E’ però improbabile che in commercio non ne esista uno con queste caratteristiche. Sappiamo che il vecchio Carnivore (ricordate Echelon?) svolgeva proprio questo compito. E più di recente NarusInsight è stato utilizzato per spiare le comunicazioni tra i manifestanti in Egitto durante i mesi della Primavera araba.
Piuttosto ambiguo è anche scrivere che “Non è chiaro quale tipo di informazioni gli 007 stessero cercando”. A meno che non si voglia intendere con ciò che il target o lo scopo della ricerca massiva non fossero univoci. Escludesse cioè tutti gli altri. In realtà è probabile che i termini da ricercare fissati dallo spionaggio passati a Yahoo! siano abbastanza ampi per permettere – come è già avvenuto in passato – una pesca il più possibile a strascico. All’intelligence infatti le informazioni interessano tutte. E se la tecnologia lo permette perché fissarsi dei limiti, se non quelli imposti dalla tecnologia stessa? Anche perché è probabile che la raccolta di dati effettuata in prima battuta da Yahoo!, aggregata ad esempio per parole chiave, sia solo la prima fase di un processo di raffinazione e analisi completato dall’NSA.
Più fondata invece la ricostruzione della Reuters secondo cui Merissa Mayer AD di Yahoo! avrebbe obbedito alla richiesta degli 007 senza raccogliere il consenso unanime dei vertici dell’azienda. Nel giugno 2015 l’allora responsabile della security Alex Stamos se ne andò sbattendo la porta. Secondo alcuni proprio in seguito a quella decisione. Stamos tuttavia potrebbe essersi accorto della presenza di qualcosa di strano, malware, breach, violazioni assortite e abbia preferito evitare guai peggiori; oppure sia a venuto a conoscenza della decisione di Mayer, presa in gran segreto alla presenza di un ristrettissimo numero di collaboratori, e mangiata la foglia abbia reagito dimettendosi.
Mancano ancora parecchi tasselli per completare il quadro. Nel frattempo però abbiamo appreso che Yahoo! nega che nei sistemi informatici dell’azienda sia attivo un sistema in grado di estrapolare i dati dalle mail degli utenti nel modo descritto, peraltro sommariamente, nell’articolo della Reuters. Come è normale che sia, dati la portata e l’impatto della presunta violazione, l’azienda USA in queste ore è letteralmente assediata da richieste di spiegazioni. Per ora sta centellinando i commenti con l’intento evidente di scoprirsi il meno possibile. Ma la sensazione è che si sta avvicinando il momento in cui saranno i legali del gigante di Sunnyvale a scendere nell’arena.
