Yahoo no deja de mostrar sus costuras… después de confirmar hace dos semanas un nuevo ataque, sin dar los datos del mismo, ha dado a conocer este miércoles que después de la investigación de la US Securities And Exchange Comission (SEC), serían 32 millones de cuentas las afectadas, que se suman a los más de mil millones del primero y los cerca de 500 millones del segundo, que se produjeron entre los años 2013 y 2014.
En el caso de este nuevo episodio ocurrido entre 2015 y 2016, se cree que la autoría del mismo podría relacionarse a la del segundo ataque, ocurrido en 2014, y se ha reportado que se usaron cookies falsificadas para acceder a las cuentas sin necesidad de contraseña. Dichas cookies, según documentos de la SEC, ya han sido invalidadas.
Según Yahoo escribió en los archivos de la SEC:
“En noviembre y diciembre de 2016, revelamos que nuestros expertos forenses externos estaban investigando la creación de cookies falsificadas que podían permitir a un intruso acceder a las cuentas de los usuarios sin una contraseña. Basándonos en la investigación, creemos que una tercera parte no autorizada accedió al código propiedad de la empresa para aprender a falsificar ciertas cookies. Los expertos forenses externos han identificado aproximadamente 32 millones de cuentas para las que falsificaron cookies usadas en 2015 y 2016. Creemos que parte de esta actividad está conectada con el mismo actor patrocinado por un estado que se cree que es responsable del incidente de seguridad de 2014. Las cookies falsificadas han sido invalidadas por la empresa de forma que no se puedan usar para acceder a cuentas de usuario.”
Un nuevo mazazo para Yahoo, cuya seguridad hacia los usuarios ha quedado muy golpeada con los ataques previos a los que se agrega este episodio. Llueve sobre mojado.