Yahoo! desvela otro hackeo, y ya es el tercero



Yahoo! anunció que 32 millones de cuentas habrían sido hackeadas en los último dos años. Estas cuentas se suman a los dos robos de datos ya anunciados anteriormente. Yahoo ha detectado una cookie falsa (no desarrollada por la propia compañía) que habría permitido a intrusos acceder a cuentas de usuario sin necesidad de introducir la contraseña. Se cree que los hechos ocurrieron entre 2015 y 2016.




 Anuncian la tercera brecha de seguridad de Yahoo!


Siguiendo con la tendencia actual, Yahoo reveló que unos 32 millones de cuentas han sido visitadas por intrusos en los últimos dos años. Estas cuentas se suman a las cuentas afectadas por los dos robos de datos que la compañía había revelado anteriormente. Según Reuters, las cuentas se vieron comprometidas usando cookies. Yahoo cree actualmente que las cuentas fueron accedidas por el "mismo actor patrocinado por el Estado querido para ser responsable de la huelga de 2014." Para los que siguen la pista, el hack 2014 fue el que afectó al menos 500 millones de cuentas.


Forged Cookies


"Basándonos en la investigación, creemos que un tercero no autorizado accedió al código propietario de la empresa para aprender a construir ciertas cookies", dijo Yahoo en su última declaración anual.

Para remediar el problema, Yahoo dice que ha invalidado esas cookies para que no puedan ser usadas para acceder a cuentas de usuario por más tiempo.




Treinta y dos millones, esa es la cifra barajada en esta ocasión por el informe de seguridad expuesto por la Comisión Nacional del Mercado de Valores (SEC por sus siglas en inglés) de Estados Unidos. La investigación ha puesto de manifiesto que las cuentas de usuario han sido vulneradas gracias a un ataque denominado cookie-forging que permite a los hackers acceder a las cuentas sin tener que proporcionar usuario o contraseña.


Cookie-forging attack

"En los pasados noviembre y diciembre de 2016, anunciamos que expertos forenses externos estaban investigando la creación de cookies falsas [forged cookies] que podrían permitir a un intruso acceder a las cuentas de los usuarios sin necesidad de contraseña. Sobre la base de la investigación, creemos que "terceros" no autorizados han accedido al código propietario de la compañía para aprender a diseñar dichas cookies. Los forenses han identificado aproximadamente 32 millones de cuentas de usuario para las que creen que se emplearon las cookies falsas para hackearlas entre 2015 y 2016. Creemos que parte de esta actividad está relacionada con el mismo "actor" responsable del incidente de seguridad de 2014. Las cookies falsas ya han sido invalidadas por la compañía para que no se puedan usar y poner en peligro las cuentas de usuario de nuevo".


Además, Yahoo anunció hoy que no otorgará a la directora ejecutiva Marissa Mayer un bono en efectivo para 2016 debido a las conclusiones de una investigación de un comité independiente sobre los problemas de seguridad de 2014. Mayer también se ha ofrecido a dejar pasar cualquier premio 2017 anual de capital debido a las violaciones de datos.

Mucho se ha hecho sobre la seguridad de Yahoo en los últimos años. En septiembre del año pasado, Yahoo confirmó que 500 millones de cuentas de usuario habían sido robadas durante un hack a finales de 2014. Como si eso no fuera suficiente, sin embargo, Yahoo anunció en diciembre del año pasado que otros 1.000 millones de cuentas se accedieron en una base de datos de hasta el año 2013.

Las tres de estas brechas de datos han llegado como Yahoo está en medio de ser adquirido por Verizon. En respuesta a las preocupaciones de seguridad, Verizon reveló el mes pasado que estaba recortando $ 350 millones de su precio de adquisición de la compañía, llevando el precio a $ 4,48 mil millones.

La adquisición de Yahoo de Verizon se espera que cierre durante el segundo trimestre de este año. Sin embargo, Verizon ha dicho que las brechas de datos pueden retrasar "alguna integración de Yahoo con Verizon después del cierre".

Como siempre, le recomendamos encarecidamente que tenga la seguridad más fuerte posible en todas sus cuentas, especialmente si era un usuario de Yahoo durante los tiempos de estos robos Por lo tanto, casi seguro que si fue alguna vez fue un usuario de Yahoo.


Fuentes:
https://hipertextual.com/2017/03/hackeo-de-yahoo
https://9to5mac.com/2017/03/01/yahoo-hack-2017-data-breach/
http://www.reuters.com/article/us-yahoo-databreach-idUSKBN1685UY

Via: blog.elhacker.net
Yahoo! desvela otro hackeo, y ya es el tercero Yahoo! desvela otro hackeo, y ya es el tercero Reviewed by Zion3R on 15:20 Rating: 5