Yahoo сделала официальное заявление, в котором сообщила о том, что в августе 2013 года неизвестный злоумышленник взломал инфраструктуру компании и похитил более миллиарда аккаунтов.
По словам компании, эта атака «скорее всего, не связана» с другим взломом в сентябре 2014 года, в ходе которого пострадали более 500 млн аккаунтов.
Взлом скомпрометировал персональные данные пользователей, включая имена, email-адреса, телефонные номера, хэшированные уязвимым алгоритмом MD5 пароли, даты рождения, а также в некоторых случаях проверочные вопросы и ответы в зашифрованном или незашифрованном виде. Yahoo уже отлючила возможность восстановления пароля через секретные вопросы в тех случаях, когда ответы были незашифрованы. Платежная информация (счета и номера кредитных карт) хранятся в отдельной изолированной системе и скомпрометированы не были.
Сведения об очередной утечки всплыли в ходе продолжающегося расследования, начатого в связи с новостями о массовых утечках в компании. В Yahoo признали вероятность того, что неизвестных злоумышленник получил доступ к исходному коду Yahoo – а таким образом, возможность генерировать поддельные cookie для организации локального хранения аутентификационных данных.
Эксперты, приглашенные для аудита компании в связи с расследованием, определили, какие аккаунты были скомпрометированы таким образом. Yahoo в последнее время находится подогнем критики из-за череды крупных утечек. На компанию ополчились пользователи и даже американские сенаторы, которых возмутило, что Yahoo два года скрывала факт взлома.
Verizon, который ранее объявил о покупке части Yahoo за $4,8 млрд, подчеркнул, что после известных событий «дополнительно пересмотрит» условия сделки. На фоне последних новостей курс акций Yahoo на бирже Nasdaq провалился на 2,5% после закрытия торгов. Ранее Yahoo поспешила сообщить, что за инцидентами стоят некие «правительственные хакеры», но пока многие эксперты не видят причин считать, что это так. Официальный представитель Yahoo на запрос о комментарии ответил, что компания «тесно сотрудничает с правоохранительными органами».
