В своем последнем отчете американской Комиссии по ценным бумагам (SEC) Yahoo заявила, что еще в 2014 году знала, что хакеры проникли в сеть компании и похитили информацию о 500 млн аккаунтов. О взломе стало известно в сентябре; Yahoo обвинила в атаке правительственных хакеров, но ряд специалистов уверены, что в инциденте замешаны обычные киберпреступники, позже продавшие информацию правительству одной восточноевропейской страны.

Отчет SEC также содержит подтверждение циркулировавших ранее слухов о том, что многомиллиардная сделка с Verizon может быть сорвана, так как Verizon может потребовать пересмотра или аннуляции условий соглашения. Исполнительный вице-президент Verizon Марни Уолден пару недель назад утверждала, что сделке быть, но, как подчеркнули беседовавшие с ней репортеры Wall Street Journal, не ответила на вопрос о том, приостановит ли компания сделку, если будет необходимо.

«Мы должны проявлять осторожность по отношению к тому, о чем мы можем не знать, — сказала Уолден. — Мы не собираемся действовать вслепую, так что нам нужно больше информации для определения дальнейших действий. Тем не менее стратегически сделка имеет смысл».

По словам Yahoo, информация о том, что 200 млн учетных записей Yahoo появились в продаже на черном рынке, послужила толчком к началу исследования безопасности сети и более глубокого анализа взлома 2014 года. «Кроме того, аналитики в данный момент проверяют некоторые индикаторы вредоносной активности лица, проникнувшего в нашу сеть. Мы думаем, что это тот же самый взломщик, принадлежащий к группировке правительственных хакеров; возможно, он создал cookie-файлы, которые позволяют ему обходить парольную защиту и получать доступ к аккаунтам некоторых клиентов», — написала Yahoo в отчете SEC. Также компания рассказала, что в прошлый понедельник представители правоохранительных органов получили от хакера предположительно легитимную информацию учетной записи Yahoo. Компания заверила, что расследует инцидент.

Yahoo заявила SEC, что похищенная информация содержит имена, email-адреса, телефонные номера, даты рождения, хешированные пароли и незашифрованные ответы на секретные вопросы. Компания заверила, что данные кредиток или информация о банковских счетах похищены не были; эти данные хранятся в системах, не пострадавших от взлома.

Новости о взломе Yahoo появились в разгар «парада утечек», в ходе которого стало известно о компрометации сотен миллионов учетных записей различных популярных сервисов. Большинство паролей Yahoo были хешированы с помощью алгоритма bcrypt, но для хеширования некоторых использовался устаревший и уязвимый алгоритм MD5, подлежащий депрекации.

В конце сентября ИБ-компания Venafi заявила, что, согласно данным внутреннего сервиса проверки качества сертификатов, использование криптографии в Yahoo — это в основном смесь просроченных хешей и самоподписанных сертификатов, каждый из которых не может считаться достаточно защищенным. Например, кроме факта использования уязвимых алгоритмов SHA1 и MD5 специалисты Venafi обнаружили универсальный сертификат с пятилетним сроком действия (в противоположность стандартному сроку действия в 12–18 месяцев). Кроме того, 27% сертификатов для внешних сайтов Yahoo были изданы еще в январе 2015 года, и только менее 3% были выписаны за последние 90 дней. На уязвимые сертификаты была совершена атака, в результате чего происходило перенаправление трафика на сервера атаки; таким же образом могли быть сымитированы сайты Yahoo, чтобы использоваться для кражи учетных данных и перехвата трафика.

Конгресс США решил вмешаться и направил главе Yahoo Мариссе Майер (Marissa Mayer) письмо с требованием объяснить, почему компания обнародовала информацию об утечке только спустя два года, подвергая данные пользователей опасности.

Также в результате утечки, говорится в отчете SEC, в адрес Yahoo было подано 23 групповых иска о нанесении вреда с ходатайством о возмещении понесенных убытков. По информации Yahoo, в третьем квартале компания потратила $1 млн на расследование утечки, но при этом взлом не повлиял на компанию в материальном плане. Также в отчете Yahoo подчеркивается, что компания не страхует от киберугроз.

Категории: Хакеры