Yahoo раскрыла сведения о произошедшей в августе 2013 г. утечке более миллиарда учётных записей, в результате которой в руки злоумышленников попали личные сведения пользователей. Факт взлома был выявлен после попадания в руки правоохранительных органов копии базы пользователей, которая после проверки оказалась связана с Yahoo. Утверждается, что скорее всего нынешняя утечка не имеет связи с обнародованными в сентября сведениями об утечке базы Yahoo на 500 млн. пользователей, которая произошла в 2014 г. в результате другого инцидента.
Как сообщает Yahoo, злоумышленники могли получить в свое распоряжение имена, почтовые адреса, телефонные номера, даты рождения, хэшированные пароли (с использованием MD5) и в некоторых случаях зашифрованные и незашифрованные секретные вопросы и ответы. Ни пароли в незашифрованном виде, ни платежная или банковская информация хакерам не достались. В инструкции «Как обезопасить себя от кибератак» компания советует поменять пароли и контрольные вопросы, если они совпадают на нескольких сервисах, а также отслеживать свои аккаунты на предмет подозрительной активности. Кроме того, Yahoo напомнила, что не стоит передавать свою личную информацию по запросу третьих лиц и кликать на незнакомые ссылки, а также скачивать подозрительные вложения из электронной почты.
Отдельно отмечается, что сторонние исследователи безопасности также выявили факты организации входа в учётную запись пользователей Yahoo без пароля через манипуляцию с поддельными идентификаторами. Изучение данного вопроса показало, что скорее всего атакующие смогли получить доступ к проприетарной кодовой базе, применяемой для обеспечения работы сервиса. Yahoo считает, что взлом 2014 г. совершил хакер, связанный с неустановленным иностранным правительством, источник атак 2013 г. компания не определила, но считает, что их организовали разные группы.
Оба взлома произошли, когда компанией руководила Марисса Майер, которая возглавила Yahoo четыре года назад, но так и не сумела повысить ее конкурентоспособность и спасти от утечки сотрудников и падения выручки. Репутационные потери особенно неудобны американской компании в настоящий момент, когда она собирается продать свой бизнес американскому оператору связи Verizon за 4,8 млрд. долл. Ранее СМИ уже сообщали о том, что после публикации осенью этого года информации о взломе поисковика провайдер хочет понизить стоимость покупки на 1 млрд. долл..
Взлом миллиарда аккаунтов — это одна из крупнейших утечек персональных данных за последние годы и самая крупная из тех, что стали известны с начала 2016 г. До сих пор крупнейшим взломом считалось похищение личных данных о 412 млн. аккаунтов сети международных знакомств AdultFriendFinder. Большая часть паролей к аккаунтам сети знакомств хранилась либо в незашифрованном виде, либо были кодированы с использованием небезопасных алгоритмов хэширования, что позволило расшифровать 99% паролей.
Ранее Yahoo подвергалась общественной критике из-за того, что долго не оповещала пользователей о краже их личных данных злоумышленниками. После одного из таких случаев многие клиенты компании решили отказаться от использования продуктов Yahoo, которые также включают фотосервис Flickr и блог-платформу Tumblr.