Ένας «φορέας που στηρίζεται από το κράτος» έκλεψε ονόματα, διευθύνσεις ηλεκτρονικού ταχυδρομείου και κάποιες πληροφορίες ασφαλείας περισσότερων από 500 εκατ. λογαριασμών Yahoo, ανακοίνωσε η ιντερνετική εταιρεία την Πέμπτη, στο πλαίσιο της μεγαλύτερης γνωστής παραβίασης προσωπικών δεδομένων μέχρι σήμερα.
Η αποκάλυψη έρχεται καθώς η Yahoo βρίσκεται εν μέσω οριστικοποίησης της πώλησης των βασικών ιντερνετικών της δραστηριοτήτων στη Verizon, τον όμιλο τηλεπικοινωνιών, για 4,8 δισ. δολάρια.
Η Yahoo άρχισε να ερευνά μία πιθανή παραβίαση ασφαλείας τον Αύγουστο, έπειτα από δημοσιεύματα που ανέφεραν ότι αρχεία πάνω από 200 εκατ. χρηστών της Yahoo προσφέρονταν προς πώληση στη μαύρη αγορά. Η αρχική έρευνα της Yahoo δεν βρήκε αποδείξεις που να στηρίζουν αυτούς τους ισχυρισμούς, σύμφωνα με πηγή από το περιβάλλον της διαδικασίας.
Ωστόσο, δεδομένου του μεγάλου αριθμού των χρηστών που λέγεται ότι έχουν επηρεαστεί, η Yahoo ξεκίνησε μετά μια ευρύτερη αξιολόγηση των συστημάτων της. Αυτή η επόμενη έρευνα αποκάλυψε την εισβολή που είχε υποστηριχθεί από το «κράτος» και για την οποία η Yahoo πιστεύει ότι συνδέεται με τις αρχικές αναφορές, προσθέτει η ίδια πηγή.
Η Yahoo δεν βρήκε αποδείξεις πως τα κλεμμένα passwords ή οι ερωτήσεις και απαντήσεις ασφαλείας έχουν χρησιμοποιηθεί ποτέ για να παραβιαστούν οι λογαριασμοί ηλεκτρονικού ταχυδρομείου των χρηστών, τόνισε αυτό το πρόσωπο. Ωστόσο, είναι δύσκολο να διαπιστωθεί με βεβαιότητα το αν αυτά τα στοιχεία έχουν χρησιμοποιηθεί για να εξασφαλιστεί πρόσβαση σε άλλους διαδικτυακούς λογαριασμούς.
Είναι ασυνήθιστο οι τεχνολογικές εταιρίες να ανακοινώνουν ότι μια εισβολή είναι αποτέλεσμα επίθεσης από κράτος. Πιο αξιοσημείωτο παράδειγμα είναι αυτό της Google, η οποία αποκάλυψε το 2010 την επιχείρηση Aurora, μια σειρά κυβερνοεπιθέσεων που όπως είπε προέρχονταν από την Κίνα. Η αποκάλυψη τελικά οδήγησε στην απόσυρση της Google από την Κίνα.
Οι χάκερ που συνεργάζονται με κυβερνήσεις είναι εξαιρετικά επιδέξιοι στο να καλύπτουν τα ίχνη τους. Ωστόσο, κάποιοι από τη βιομηχανία ασφαλείας έχουν εκφράσει την ανησυχία ότι η Yahoo άργησε πολύ να αντιδράσει στην εδώ και δύο χρόνια παραβίαση.
«Αυτή είναι μία από τις μεγαλύτερες παραβιάσεις στην ιστορία. Αν και δεν είναι του ίδιους μεγέθους (με το χάκινγκ του αμερικανικού Γραφείου Διαχείρισης Προσωπικού) λόγω της φύσης των δεδομένων, είναι μια στιγμή-ορόσημο για την ασφάλεια», επεσήμανε ο Kenneth White, ερευνητής ασφαλείας και επικεφαλής στο Open Crypto Audit Project.
Η παραβίαση στη Yahoo προηγήθηκε ενός καταιγισμού γνωστών κυβερνοεπιθέσεων πέρυσι, περιλαμβανομένης της εισβολής στο Γραφείο Διαχείρισης Προσωπικού των ΗΠΑ με την οποία εκλάπησαν λεπτομέρειες από προσωπικούς ελέγχους σε 22 εκατ. άτομα, αλλά και η έκθεση 37 εκατ. χρηστών του Ashley Madison, ενός ιστότοπου για εξωσυζυγικές σχέσεις.
Η έρευνα της Yahoo ξεκίνησε μόλις λίγες μέρες αφού έκλεισε τη συμφωνία με τη Verizon.
Η Verizon ανακοίνωσε την Πέμπτη ότι είχε ενημερωθεί για τα ευρήματα πριν από δύο μέρες. «Καταλαβαίνουμε ότι η Yahoo διεξάγει ενεργή έρευνα γύρω από αυτό το θέμα, αλλά κατά τα άλλα έχουμε περιορισμένες πληροφορίες και αντίληψη του αντίκτυπου», ανέφερε.
«Θα προχωρούμε σε αξιολογήσεις όσο θα συνεχίζεται η έρευνα, υπό το πρίσμα των συνολικών συμφερόντων της Verizon, περιλαμβανομένων των καταναλωτών, πελατών, μετόχων και σχετικών κοινοτήτων. Μέχρι τότε, δεν είμαστε σε θέση να σχολιάσουμε περαιτέρω».
Οι μετοχές της Yahoo δεν εμφάνισαν μεγάλες διακυμάνσεις μετά την αποκάλυψη, κάτι που υπονοεί πως οι επενδυτές δεν ανησυχούν πολύ για τον αντίκτυπο στη συμφωνία με τη Verizon. Σε περίπτωση αποτυχίας της συμφωνίας, υποχρεωτικές γνωστοποιήσεις στις ρυθμιστικές αρχές δείχνουν ότι η Yahoo θα αναγκαζόταν να πληρώσει στη Verizon αποζημίωση σχεδόν 145 εκατ. δολαρίων.
Η Yahoo τόνισε ότι οι πληροφορίες λογαριασμών που εκλάπησαν από το δίκτυό της «μπορεί να περιλαμβάνουν» ονόματα, διευθύνσεις ηλεκτρονικού ταχυδρομείου, αριθμούς τηλεφώνου, ημερομηνίες γέννησης και κωδικούς πρόσβασης που «καμουφλάρονται» από μια τεχνική ασφάλειας που είναι γνωστή ως hashing (κατατεμαχισμός). Κάποιοι σύμβουλοι σε θέματα ασφαλείας επεσήμαναν ότι τα συστήματα προστασίας των κωδικών ασφαλείας της Yahoo ήταν παρωχημένα και ανεπαρκή.
Πιθανώς ακόμη πιο ζημιογόνα είναι η αποκάλυψη από την εταιρία ότι «κρυπτογραφημένες και μη κρυπτογραφημένες ερωτήσεις και απαντήσεις ασφαλείας» μπορεί επίσης να έχουν κλαπεί, κάτι που θα μπορούσε να δώσει τη δυνατότητα στους χάκερ να εισβάλουν σε άλλους λογαριασμούς αυτών των χρηστών με τη χρήση προσωπικών πληροφοριών όπως πατρικά ονόματα, σημαντικές ημερομηνίες και ονόματα κατοικίδιων.
Χρηματοοικονομικές πληροφορίες όπως λεπτομέρειες τραπεζικών λογαριασμών και πιστωτικών καρτών δεν εκλάπησαν, πρόσθεσε η Yahoo. «Η έρευνα δεν βρήκε αποδείξεις ότι ο κρατικός φορέας βρίσκεται αυτή τη στιγμή στο δίκτυο της Yahoo», ανέφερε η εταιρία με έδρα στη Σίλικον Βάλεϊ. «Η Yahoo συνεργάζεται στενά με τις δυνάμεις επιβολής του νόμου σε αυτό το θέμα».
Η Yahoo ανέφερε ότι ενημερώνει τους χρήστες που πιθανώς έχουν επηρεαστεί, επαναρυθμίζοντας τα passwords και ακυρώνοντας τις ερωτήσεις ασφαλείας.
Με ανακοίνωσή του, το FBI γνωστοποίησε ότι «έχει ενημερωθεί για το θέμα». «Έχουμε τακτική επικοινωνία και καλή συνεργασία με τους εταίρους μας από τον ιδιωτικό τομέα και η διακινδύνευση των συστημάτων του δημόσιου και του ιδιωτικού τομέα είναι κάτι που παίρνουμε πολύ στα σοβαρά», ανέφερε η υπηρεσία. «Το FBI θα συνεχίσει να ερευνά και να αποδίδει ευθύνες σε εκείνους που απειλούν τον κυβερνοχώρο».
Οι κωδικοί ασφαλείας της Yahoo προστατεύονταν με τη χρήση μιας μεθόδου που είναι γνωστή ως «συνάρτηση κατατεμαχισμού MD5», την οποία οι ειδικοί σε θέματα ασφαλείας έχουν επικρίνει ως αδύναμη που τίθεται εύκολα σε κίνδυνο.
«Αυτή η μεθοδολογία είναι υπερβολικά παρωχημένη και δεν περιμέναμε ότι οποιαδήποτε σύγχρονη, υπεύθυνη εταιρία, πόσο μάλλον μια μεγάλη ιντερνετική επιχείρηση όπως η Yahoo, θα τη χρησιμοποιούσε ακόμη», υποστήριξε ο Dave Palmer, επικεφαλής τεχνολογίας στην εταιρία κυβερνοασφάλειας Darktrace, μεταξύ των πελατών της οποίας είναι οι BT και Drax Power.
Η λίστα των δεδομένων που περιγράφηκαν ως στοιχεία χρηστών της Yahoo, η οποία πυροδότησε και την έρευνα της εταιρίας, εμφανίστηκε για πρώτη φορά στο σκοτεινό δίκτυο (dark web) τον Ιούνιο.
Αναρτήθηκε από έναν χάκερ με το όνομα Peace, που από το ιστορικό του φαίνεται ότι «ανεβάζει» αυθεντικά δεδομένα, και τιμολογήθηκε στα τρία bitcoin, ποσό που αντιστοιχεί σε 1.860 δολάρια.
«Η περιγραφή της λίστας περιλάμβανε 586 γραμμές δεδομένων ως δείγμα, καθεμία από τις οποίες περιλάμβανε ένα όνομα χρήστη, ημερομηνία γέννησης και ένα κρυπτογραφημένο κωδικό πρόσβασης. Κάποιες αλλά όχι όλες οι γραμμές περιλάμβαναν και διεύθυνση ηλεκτρονικού ταχυδρομείου», ενημέρωσε η Digital Shadows, μια βρετανική εταιρία κυβερνοασφάλειας.
Πριν τη Yahoo, το χάκινγκ που επηρέασε τους περισσότερους χρήστες απ’ όσα γνωρίζουμε, αποκαλύφθηκε από το MySpace νωρίτερα φέτος. Περίπου 427 εκατ. passwords του MySpace εμφανίστηκαν στο διαδίκτυο τον Ιούλιο, λίγο αφότου στοιχεία 167 εκατ. χρηστών του LinkedIn διέρρευσαν έπειτα από επίθεση του 2012. Αυτό οδήγησε σε εισβολές σε μια πληθώρα λογαριασμών επώνυμων προσώπων στα social media.
Η αποκάλυψη της Yahoo έδωσε μια ώθηση σε αρκετές μετοχές εταιριών ασφαλείας πληροφοριών, περιλαμβανομένης της FireEye που είχε άνοδο 4,9% και της Palo Alto Networks που ενισχύθηκε 1,8%.