32 millones de cuentas comprometidas: Yahoo confirma su tercer hackeo en seis meses

Yahoo contin√ļa en ca√≠da libre. Seg√ļn se recoge en The Next Web, una investigaci√≥n llevada a cabo por la US Securities And Exchange Comission (SEC) confirmaba que se filtr√≥ la informaci√≥n de 32 millones de cuentas. El ataque trascendi√≥ al p√ļblico hace 15 d√≠as aunque los detalles (incluyendo la cifra de afectados) no se han conocido hasta ahora.

Estas noticias llegan como la continuación de un hackeo de más de mil millones de cuentas y de otro que afectaría a otros 500 millones, que se produjeron entre 2013 y 2014. Los detalles todavía no están claros, si bien la investigación asegura que el ataque podría estar conectado al de 2014 hasta cierto punto.

Al parecer, se tratar√≠a de aquel en el que se usaron cookies falsificadas para entrar a los perfiles sin necesidad de contrase√Īa. De acuerdo con los documentos de la SEC, las cookies afectadas ya han sido invalidadas. Esto es lo que Yahoo escribi√≥ en los archivos del SEC:

En noviembre y diciembre de 2016, revelamos que nuestros expertos forenses externos estaban investigando la creaci√≥n de cookies falsificadas que pod√≠an permitir a un intruso acceder a las cuentas de los usuarios sin una contrase√Īa. Bas√°ndonos en la investigaci√≥n, creemos que una tercera parte no autorizada accedi√≥ al c√≥digo propiedad de la empresa para aprender a falsificar ciertas cookies. Los expertos forenses externos han identificado aproximadamente 32 millones de cuentas para las que falsificaron cookies usadas en 2015 y 2016. Creemos que parte de esta actividad est√° conectada con el mismo actor patrocinado por un estado que se cree que es responsable del incidente de seguridad de 2014. Las cookies falsificadas han sido invalidadas por la empresa de forma que no se puedan usar para acceder a cuentas de usuario.

Yahoo podría haber revelado la información en 2014

marissa mayerMarissa Mayer, CEO de Yahoo

El SEC inicialmente prometió investigar los hackeos después oír acusaciones de que Yahoo tenía suficiente conocimiento de la situación para revelar los ataques antes (en 2014), y no después.

Los hallazgos se√Īalan que durante la investigaci√≥n interna conducida por Yahoo en 2014, la empresa pudo conectar el ataque con al menos 26 cuentas comprometidas. Por ahora, se ha notificado a los due√Īos de esas 26, pero es una cifra insuficiente.

Lo m√°s preocupante es que el SEC concluy√≥ que un cierto n√ļmero de ejecutivos senior (cuyas indentidades no se han revelado) no lograron “comprender o investigar adecuadamente” el alcance total de la brecha. Tambi√©n se declara en el informe que el equipo legal de Yahoo ten√≠a suficiente informaci√≥n para abrir m√°s investigaciones en 2014:

El Comité Independiente descubrió que fallos en la comunicación, gestión, investigación y reportes internos contribuyeron a la falta de comprensión y manejo del incidente de seguridad de 2014.

Por ahora, Marissa Mayer ha anunciado que asume toda la responsabilidad. La CEO de Yahoo ha publicado en Tumblr un post comentando el particular, así como la cesión de su bonus anual a los empleados de la empresa como una especie de compensación.

Mientras tanto, Yahoo ha acordado ofrecer un descuento a Verizon en el precio de la compra de Yahoo, concretamente de 350 millones de dólares.

Fuente:https://www.genbeta.com/