Коллективный иск от пользователей, пострадавших из-за массовой утечки данных в 2013-2016 годах, получил зеленый свет – судья Люси Кох приняла иск и отправила его на рассмотрение. В своем 93-страничном ответе на претензии Yahoo! она отметила количество пострадавших, масштаб утечки и время, которое понадобилось ответчику, чтобы оповестить потенциальных жертв.

Юристы IT-компании пытались доказать, что вред, нанесенный истцам, неочевиден и не может быть привязан к инцидентам 2013-2016 годов, однако судья Кох так ответила на их аргументы: “Истцы попали под угрозу похищения личности в будущем – вдобавок к потере ценности их персональных данных”. Таким образом, пострадавшим от утечек не придется ждать того момента, когда их информацию используют в преступных целях: они смогут получить компенсацию сразу после рассмотрения текущего дела.

С сентября 2016-го компания призналась в двух утечках. В первом случае пострадали аккаунты более 500 миллионов пользователей, а среди украденных данных оказались имена, адреса электронной почты, хешированные пароли, секретные вопросы и ответы на них. Примечательно, что утечка произошла в конце 2014 года, то естьYahoo! скрывала ее или не знала о ней почти два года.

Уже в декабре компания опубликовала заявление о второй утечке, произошедшей ранее, в 2013 году. Тогда пострадали более 1 миллиарда пользователей, а список украденных данных оказался примерно таким же: хешированные пароли, личная информация и секретные вопросы.

В сентябре 2016 года IT-компания заявляла, что к утечке данных причастны некие “государственные структуры”, но за события 2013-го, по версии Yahoo!, ответственны “третьи лица”. Ни в том, ни в другом случае никаких следов или доказательств в Yahoo! предоставить не смогли.

В обоих случаях представители Yahoo! утверждали, что утечка не затронула данные банковских карт, но, получив доступ к почтовым ящикам, злоумышленники вполне могли найти и эту информацию.

Глава службыYahoo! Боб Лорд заявил, что злоумышленники провели реверс-инжиниринг куки-файлов, похищенных в 2013 году, и в результате открыли себе возможность входить в аккаунты пользователей, не вводя пароль. Поиск остальной информации проводился уже непосредственно в ящиках и профилях пользователей. В официальном ежегодном отчете Yahoo! шла речь как минимум о 32 миллионах взломанных аккаунтов. По одной из версий, злоумышленники получили доступ к фрагменту проприетарного кода Yahoo! и разбирали уже его.

Любопытно, что алгоритм MD5, по которому шифровались пароли, считался ненадежным уже в 2009 году, и использование этой уязвимости было лишь вопросом времени.

Утечки информации из Yahoo! позволили Verizon сбить цену и купить компанию за 4,48 млрд. долларов вместо 4,83 млрд. долларов. Решение судьи Кох можетповлечь не только финансовые, но и репутационные издержки для обеих компаний.

Категории: Главное, Кибероборона