Fuga de datos de Yahoo en 2013 afectó a 3000 millones de cuentas

La masiva fuga de datos de los sistemas de Yahoo en 2013 afectó a cada cuenta vigente en aquel entonces, declaró la compañía anoche en el caso ante la Comisión de Bolsa y Valores.

Yahoo reveló la fuga en diciembre pasado cuando informó que creían que “tras la adquisición de Yahoo por parte de Verizon, y durante la integración, la compañía obtuvo nueva información y ahora sostiene que, según una investigación llevada a cabo con la cooperación de expertos forenses externos, todas las cuentas de usuarios de Yahoo se vieron afectadas por el robo en agosto de 2013”, afirmó la compañía que fue adquirida por Verizon este año y que ahora forma parte de Oath.

En diciembre del año pasado, Yahoo notificó a todos los usuarios de sus cuentas sobre la fuga de datos, solicitándoles cambiar su contraseña e invalidar las preguntas y respuestas de seguridad no cifradas aún vigentes en ese momento. La fuga de 2013 fue una de las dos que Yahoo reveló el año pasado; la segunda tuvo lugar en 2014 cuando unos hackers se apropiaron de unos 500 millones de registros de cuentas. La fuga de 2014 fue revelada en septiembre de 2016.

Yahoo explicó que en ese momento ambos eventos eran dos incidentes separados, pero que era posible que hubiese un solo responsable por ambos ataques.

En la declaración del martes, Yahoo reafirmó que los datos robados no incluían contraseñas en texto simple, ni datos sobre pagos con tarjetas ni sobre cuentas bancarias. Los atacantes se apropiaron nombres, direcciones de correo electrónico, números de teléfono, hash de contraseñas y algunos datos sobre preguntas y respuestas de seguridad.

Yahoo sostuvo su posición de que los responsables de estas fugas tenían respaldo gubernamental, a pesar del escepticismo de analistas externos.

En una declaración ante la Comisión de Bolsa y Valores en noviembre de 2016, Yahoo afirmó que su equipo de seguridad interna y analistas externos concluyeron que en la fuga de 2014 los atacantes lograron robar un proceso propio que Yahoo utiliza para crear cookies de autenticación. Los atacantes lograron usar este proceso para falsificar cookies y acceder a cuentas internas sin necesidad de autenticarse.

“Ya no se están enviando más notificaciones sobre la falsificación de cookies en relación con esta actualización”, apuntó Yahoo. “A algunas de las cuentas de usuarios a las que estamos notificando ahora sobre la fuga de datos de agosto de 2013, se les podría haber avisado antes sobre la falsificación de cookies si Yahoo hubiese sabido que esta falsificación estaba asociada con el uso o captura de dichas cuentas”.

La declaración sobre la fuga de septiembre desencadenó una desastrosa serie de eventos que en un momento puso en peligro la multimillonaria adquisición del negocio principal de Yahoo por parte Verizon.  Por ejemplo, los expertos rechazaron de inmediato las declaraciones de Yahoo que insinuaban una posible participación gubernamental en el ataque de 2014. Al contrario, los expertos sostienen que se trataba de una operación criminal con el fin de vender los datos robados a algún gobierno de Europa del este.

En su declaración de noviembre ante la Comisión de Bolsa y Valores, Yahoo también admitió que sabía en 2014 que los atacantes estaban en su red y que en ese momento habían robado datos de unos 500 millones de cuentas. Seguidamente, el Congreso exigió respuestas a la gerente general de Yahoo, Marissa Mayer, calificando los dos años entre el ataque y su revelación como algo “inaceptable”.

Fuente: Threatpost