יאהו, שעדיין נרתעה מפריצה שהשפיעה על יותר מ-500 מיליון חשבונות מוקדם יותר השנה, חשפה ביום רביעי שעוד מיליארד חשבונות נפגעו במתקפה נפרדת שראשיתה ב-2013.
נראה שהפרצת הנתונים שנחשפה לאחרונה דלפה נתונים הדומים למידע שהושג בפריצה נפרדת שנחשפהבספטמבר, אם לשפוט לפי מידע שפורסם ב-Yahooהַצהָרָה.
לפי החברה, החדירה האחרונה חשפה מידע על חשבון משתמש שעשוי לכלול שמות, כתובות דוא"ל, מספרי טלפון, תאריכי לידה, סיסמאות גיבובות באמצעות פרוטוקול MD5 ושאלות ותשובות אבטחה מוצפנות או לא מוצפנות. יאהו לא מאמינה שמידע סיסמה נחשף בטקסט ברור, וגם לא נתוני כרטיסי תשלום או פרטי חשבון בנק דלפו כחלק מההפרה.
לשם השוואה, הפריצה של יאהו משנת 2014, שכללה כ-500 מיליון חשבונות, חשפה שמות, כתובות מייל, מספרי טלפון, תאריכי לידה, סיסמאות ושאלות אבטחה. באותה עת האשימה החברה את המתקפה על שחקן בחסות המדינה.
בעוד שהמתקפה נבדלת מההפרה שנחשפה בספטמבר, יאהו מאשימה לפחות חלק מהפעילות על אותו סוכן או סוכנים בחסות המדינה.
על פי החשיבה בוצעה בשנת 2013, המתקפה נחשפה רק לאחרונה על ידי צוות האבטחה של יאהו. בנובמבר, פקידי אכיפת החוק סיפקו לחברה קבצי נתונים שצד שלישי טען שנאסף מחשבונות משתמש. ניתוח הנתונים צמצם חלון תקיפה סביר לאוגוסט 2013.
"לא הצלחנו לזהות את החדירה הקשורה לגניבה זו. אנו מאמינים שהתקרית הזו נבדלת ככל הנראה מהאירוע שחשפנו ב-22 בספטמבר 2016", אמרה החברה באימייל שנשלח למשתמשים המושפעים.
תוך פירוט כיצד הצליחו האקרים לפרוץ ליותר ממיליארד חשבונות, CISO של Yahoo, בוב לורד, אמר שהצוות שלו מאמין שצד שלישי לא מורשה ניגש כנראה לקוד של יאהו ב-2013 וגילה דרך לזייף עוגיות. חמושים בכלי ליצירת עוגיות, פולשים יוכלו לגשת לחשבונות ללא סיסמה.
Yahoo נמצאת בתהליך של הודעה למשתמשים שלדעתה הושפעו מההפרה ודורשת מהמושפעים לשנות את הסיסמאות שלהם. החברה גם ביטלה שאלות ותשובות אבטחה לא מוצפנות במטרה למנוע התקפות המשך.
