Imagen: Gizmodo

En mitad del proceso de venta a Verizon, Yahoo descubre que fue víctima del mayor robo de cuentas de la historia. Alguien accedió a 500 millones de contraseñas en 2012, y ahora se han filtrado 200. Peace, el mismo hacker que expuso a MySpace y LinkedIn, vende la base de datos en la deep web.

Advertisement

De acuerdo con un comunicado oficial, Yahoo cree que la brecha fue causada por un agente que actuó bajo la financiación de un Estado:

Una investigación reciente de Yahoo! Inc. ha confirmado que una copia con cierta información de cuentas de usuario fue robada de la red de la empresa a finales de 2014 por lo que creemos que era un agente patrocinado por un Estado. La información de la cuenta puede incluir nombres, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, contraseñas hasheadas (la gran mayoría con bcrypt) y, en algunos casos, preguntas y respuestas de seguridad cifradas o sin cifrar.

“Las instrusiones online y los robos de actores patrocinados por algún Estado se han vuelto cada vez más comunes en toda la industria de la tecnología”, añade Yahoo. “Yahoo y otras empresas han puesto en marcha programas para detectar y notificar a los usuarios cuando la empresa tiene serias sospechas de que algún agente patrocinado por un Estado ha dirigido un ataque a su cuenta”.

Si bien algunos datos personales quedaron comprometidos, las contraseñas de la base de datos estaban cifradas, como aclara el comunicado. Algunas preguntas y respuestas de seguridad, en cambio, estaban sin cifrar. En cualquier caso es buen momento para cambiar la contraseña.

500 millones de cuentas. La de Yahoo es la mayor filtración de datos de la historia. ’;—have i been pwned? enumera tres que quedan por detrás:

Advertisement

  • MySpace - 359 millones de cuentas: El robo se produjo en 2008, la base de datos se puso a la venta en mayo de 2016. Las contraseñas están cifradas con SHA-1, un hash que se considera inseguro.
  • LinkedIn - 164 millones de cuentas: El robo se produjo en 2012, las credenciales se pusieron a la venta en mayo de 2016. Las contraseñas estaban hasheadas con SHA-1 sin sal, un cifrado muy inseguro.
  • Adobe - 152 millones de cuentas: El robo se produjo en octubre de 2013. La compañía dio una cifra de algo menos de tres millones de usuarios, luego se descubrió que el ataque afectaba a 152 millones. Muchas de las contraseñas pudieron ser descifradas.

Otros grandes ataques informáticos incluyen a eBay (145 millones de cuentas), PlayStation Network (77 millones de cuentas) y Evernote (50 millones de cuentas). Pero la lista no termina aquí. Blizzard, Ubisoft, AT&T, Facebook o Apple son algunas de las grandes empresas cuyos servicios han caído alguna vez víctima de los hackers. [Yahoo]