Yahoo сообщил об утечке миллиарда учетных записей

Компания Yahoo раскрыла сведения о произошедшей в августе 2013 года утечке миллиарда учетных записей, в результате которой в руки злоумышленников попали личные сведения о пользователях, в том числе хэши паролей и телефонные номера. Факт взлома был выявлен после попадания в руки правоохранительных органов копии базы пользователей, которая после проверки оказалась базой пользователей Yahoo. Утверждается, что скорее время нынешняя утечка не имеет связи с обнародованными в сентября сведениями о другой утечке базы Yahoo в 500 млн пользователей, которая произошла в 2014 году.

Заслуживающим внимания отличием между двумя утечками, является то, что в 2014 хэши паролей пользователей находились в формате bcrypt, в то время как в базе 2013 пароли были прохэшированы с использованием MD5. Кроме того, в руки атакующих попали зашифрованные или незашифрованные вопросы и ответы для восстановления контроля за учетной записью. Номера кредитных карт и банковские реквизиты не пострадали.

Отдельно отмечается, что ранее сторонние исследователи безопасности выявили факты организации входа в учетную запись пользователей Yahoo без пароля через манипуляцию с поддельными идентификаторами в Cookie. Изучение данного вопроса показало, что скорее всего атакующие смогли получить доступ к проприетарной кодовой базе, применяемой для обеспечения работы сервиса, которая была использована для выявления лазейки для создания поддельных cookie для входа.