Публикация квартального отчета Yahoo, поданного в комиссию по обороту ценных бумаг США (SEC), раскрыла истинное положение дел с утечкой свыше 1,5 млрд записей за последние четыре года. В итоге картина оказалась еще более неприглядной, чем можно было себе представить.

Отчитываясь перед SEC и инвесторами, Yahoo признала, что ее ИБ-службе было известно о компрометации аккаунтов и использовании поддельных куки хакерами, за которыми предположительно стоит некое государство, однако руководители компании предпочли игнорировать степень серьезности ситуации. «Хотя в ответ на эти инциденты были реализованы существенные дополнительные средства защиты, похоже на то, что некоторые члены руководства не в полной мере осмыслили или изучили данные, собранные ИБ-службой компании, и вследствие этого не смогли принять адекватные меры», — пишет Yahoo в отчете, зарегистрированном в SEC.

Ранее Yahoo публично признала, что ее сети были скомпрометированы еще в 2013 году и хакерам удалось украсть более 1 млрд записей о пользовательских аккаунтах. В результате 26 аккаунтов оказались взломанными; компания уведомила пострадавших и начала расследование. В отчете, поданном в SEC, сказано, что ИБ-службе Yahoo было известно о краже резервных копий файлов с данными пользователей еще в декабре 2014 года, однако специалисты не были уверены в том, что этот факт был надлежащим образом доведен до сведения руководства компании и воспринят правильно. Участники внутреннего расследования при этом заявили, что никакой информации умышленно не утаивали.

«Тем не менее комиссия заключила, что у ответственных юристов в 2014 году было достаточно информации для запуска более тщательного расследования, но они на этом не настояли, — гласит отчет Yahoo. — В результате ИБ-инцидент 2014 года не был на тот момент как следует изучен и проанализирован, и компания не получила необходимые рекомендации в отношении правовых и коммерческих рисков, сопряженных с ИБ-инцидентом 2014 года. Независимая комиссия пришла к заключению, что правильному осмыслению ИБ-инцидента 2014 года и принятию надлежащих мер помешали упущения на уровне информационного взаимодействия, менеджмента, расследования и внутренней отчетности. Независимая комиссия также нашла, что комитет по аудиту и финансам компании и ее правление в полном составе не были адекватно проинформированы обо всех серьезных аспектах, рисках и потенциальных последствиях ИБ-инцидента 2014 года и сопутствующих проблемах».

Информация об утечках в Yahoo начала всплывать в прошлом сентябре, когда компания заявила о компрометации 500 млн учетных записей пользователей в результате атаки хакеров в конце 2014 года. В декабре стало известно о краже более 1 млрд аналогичных записей из базы Yahoo вследствие взлома, произошедшего в 2013 году. В своем отчете SEC компания признала, что ей до сих пор неизвестно, каким образом хакерам удалось проникнуть в сеть, но подчеркнула, что эта атака, «скорее всего, не связана» со взломом 2014 года. Авторы атаки добрались до серверов, на которых хранился проприетарный код Yahoo, и узнали, как сфальсифицировать куки, чтобы без авторизации получить доступ к 32 млн аккаунтов.

По свидетельству Yahoo, в связи с утечками против нее было подано 43 групповых иска. Эти взломы также, по-видимому, дорого обошлись главному юрисконсульту компании Рональду Беллу (Ronald Bell): в отчете Yahoo сказано, что на прошлой неделе он подал в отставку и был уволен без выходного пособия. Исполнительный директор Марисса Майер (Marissa Mayer) лишилась премии за прошлый год и в этом году не получит вознаграждение в виде участия в капитале. Майер попросила правление раздать ее премиальные служащим компании.

Свои признания Yahoo озвучивала параллельно переговорам с Verizon о продаже части бизнеса. Утечки вообще поставили под сомнение эту сделку, но в итоге ее участники договорились о снижении цены на $350 млн (изначально Yahoo просила $4,8 млрд).

ИБ-эксперты со своей стороны поставили под сомнение заявление Yahoo о том, что авторы взломов — спонсируемые государством хакеры. Руководитель InfoArmor Эндрю Комаров (Andrew Komarov), например, склонен винить в этих утечках криминальную группу Group E, в состав которой входят восточноевропейские и русскоговорящие хакеры. Group E известна тем, что снабжает спамеров крадеными персональными данными. По словам Комарова, в декабре миллиардная база данных Yahoo была продана как минимум трем разным лицам.

Категории: Хакеры