Yahoo Breach

A mediados de Febrero, sonaron por tercera vez las alertas entres los usuarios de Yahoo: sus cuentas podrían haber sido objeto de hackeos debido a “cookies falsificadas”. Pues bien, Yahoo ha confirmado que el ataque fue efectivo y 32 millones de cuentas han sido comprometidas.

En efecto, el ataque se realizó utilizando cookies falsificadas para acceder a los perfiles de los usuarios sin necesidad de contraseñas. Las cookies, debemos recordar, son pequeños archivos que se almacenan en la caché del navegador y que los sitios web utilizan para llevar un registro de nuestra actividad en la web. De esta forma, se la publicidad enfocada a nuestros intereses y algunas funciones de navegación como “permanecer activo en una web” son posibles.

Resulta que una investigación llevada a cabo por la US Securities And Exchange Comission (SEC) confirma que hackers accedieron al código propietario para generar las cookies de Yahoo, y así falsificarlas para poder acceder a cualquier cuenta sin contraseñas. Este es un extracto de la declaración de Yahoo:

En noviembre y diciembre de 2016, revelamos que nuestros expertos forenses externos estaban investigando la creación de cookies falsificadas que podían permitir a un intruso acceder a las cuentas de los usuarios sin una contraseña. Basándonos en la investigación, creemos que una tercera parte no autorizada accedió al código propiedad de la empresa para aprender a falsificar ciertas cookies. Los expertos forenses externos han identificado aproximadamente 32 millones de cuentas para las que falsificaron cookies usadas en 2015 y 2016. Creemos que parte de esta actividad está conectada con el mismo actor patrocinado por un estado que se cree que es responsable del incidente de seguridad de 2014. Las cookies falsificadas han sido invalidadas por la empresa de forma que no se puedan usar para acceder a cuentas de usuario.

El ataque en 2014 debió advertir a Yahoo

Tras uno de los primeros grandes ataques en 2014, la empresa debió quedar advertida de que algo como esto podría ocurrir. Así lo asegura la SEC, quienes revelan en su investigación que Yahoo tenia suficiente información para ampliar las investigaciones. No obstante algunos ejecutivos senior no lograron comprender o investigar adecuadamente permitiendo que el robo del código fuente para crear las cookies propietarias pasar por desapercibido:

El Comité Independiente descubrió que fallos en la comunicación, gestión, investigación y reportes internos contribuyeron a la falta de comprensión y manejo del incidente de seguridad de 2014.

Al respecto, Marissa Mayer, CEO de Yahoo, ha publicado un extenso comunicado en el que asume toda la responsabilidad sobre lo ocurrido y cede su bonus anual a los empleados en compensación por…¿su mala gestión?

Más sobre esta historia