Yahoo сделала официальное заявление, в котором сообщила о том, что в августе 2013 года неизвестный злоумышленник взломал инфраструктуру компании и похитил более миллиарда аккаунтов. По словам компании, эта атака, «скорее всего, не связана» с другим взломом в сентябре 2014 года, в ходе которого пострадали более 500 млн аккаунтов.

Взлом скомпрометировал персональные данные пользователей, включая имена, email-адреса, телефонные номера, хэшированные уязвимым алгоритмом MD5 пароли, даты рождения, а также в некоторых случаях проверочные вопросы и ответы в зашифрованном или незашифрованном виде. Yahoo уже отключила возможность восстановления пароля через секретные вопросы в тех случаях, когда ответы не были зашифрованы. Платежная информация (счета и номера кредитных карт) хранится в отдельной изолированной системе и скомпрометирована не была.

Сведения об очередной утечке всплыли в ходе продолжающегося расследования, начатого в связи с новостями о массовых утечках в компании. В Yahoo признали вероятность того, что неизвестный злоумышленник получил доступ к исходному коду Yahoo и, следовательно, возможность генерировать поддельные cookie для организации локального хранения аутентификационных данных. Эксперты, приглашенные для аудита компании в связи с расследованием, определили, какие аккаунты были скомпрометированы таким образом.

Yahoo в последнее время находится под огнем критики из-за череды крупных утечек. На компанию ополчились пользователи и даже американские сенаторы, которых возмутило, что Yahoo два года скрывала факт взлома. Verizon, которая ранее объявила о покупке части Yahoo за $4,8 млрд, подчеркнула, что после известных событий «дополнительно пересмотрит» условия сделки. На фоне последних новостей курс акций Yahoo на бирже NASDAQ упал на 2,5% после закрытия торгов.

Ранее Yahoo поспешила сообщить, что за инцидентами стоят некие «правительственные хакеры», но пока многие эксперты не видят причин считать, что это так. Официальный представитель Yahoo на запрос о комментарии ответил, что компания «тесно сотрудничает с правоохранительными органами».

Категории: Главное, Хакеры