Rugsėjo mėnesį Yahoo atskleidė net 500 milijonų nulaužtų paskyrų. Atrodo kad kažkokiu būdu kampanijai pasisekė perspjauti šią rekordinę viršūnę. Dabar Yahoo pranešė, kad hakeriai 2013 metų rugpjūtį sukompromitavo vieną milijardą įmonės naudojotų paskyrų, o tai panašu į atskirą puolimą. Vienas milijardas. Tai tampa didžiausiu žinomu naudotojų duomenų nulaužimu.
Kaip Yahoo teigia, svarbiausias kolkas žinomas dalykas yra tai, kad „šis įvykis yra panašus į atskirą ataką, nei ta, kuri įvyko 2016 metų Rugsėjo 22.“ Tas įsilaužimas vyko 2014 metų pabaigoje, o šis, naujas ir smarkiai didesnis, įvyko maždaug metais anksčiau.
Yahoo sako, kad nulaužti duomenys įtraukia vardus, elektroninio pašto adresus, telefonų numerius, gimimo datas, slaptažodžius ir šifruotus bei nešifruotus apsaugos klausimus bei atsakymus. Žiūrint į šviesiosiąją šios situacijos pusę,Yahoo teigia, kad įsilaužimas neįtraukia nešifruotų slaptažodžių, kreditinių kortelių kodų ar informacijos apie banko paskyras. Įmonė sako, kad financiniai duomenys yra saugomi atskiroje sistemoje, kuri, manoma, nebuvo paliesta.
Tarp sukompromituotų paskyrų ir demaskuotųjų per įsilaužimą rugsėjo mėnesį gali būti sutapimas, tačiau net tikintis geriausio scenarijaus, milijardas Yahoo paskyrų jau yra atskleistos. Blogiausiu atveju gali būti net 1,5 milijardai.
Ar tai labai rimta? Tai tikrai labai rimta, atsižvelgiant į tai, kad iš viso yra trys milijardai vartotojų, o milijardas paskyrų tvarkomos, kaip ir faktas, kad tai atskleisti ir parodyti užtruko taip ilgai. Bendras didelio masto paplitimas ir valstybės įsilaužimai per pastaruosius kelis metus parodė, kad daugelis institucijų neinvestuoja pakankamai lėšų apsaugant savo tinklus bei skaitmeninę ifrastruktūrą, taip pat, kadangi jie nežino jog to jiems reikia, jie nemano, kad gali teikti pirmenybę savo biudžetui arba jie nesitiki, kad kas nors įsilauš į jų sistemą. Tampa aišku, kad Yahoo padarė kelias, o galbūt net visas šias klaidas.
Vartotojai negali laikyti slaptažodžių saugiais, kol jie maišomi su MD5, šis konkretus metodas yra žinomas kaip turintis kelias pažeidžiamas savybes. Yahoo teigia, kad vyksta šio įsilaužimo paliestų vartotojų paskelbimo procesas, kuris reikalaus, kad jie visi pakeistų savo slaptažodžius.
Tikimasi, kad tai yra paskutinis rimtas įsilaužimas į Yahoo duomenis, tačiau įmonei bus sudėtinga išgelbėti vartotojus ar pasiekti pasitikėjimą, ypač kai šių įvykių pasekmės vis dar nežinomos. „Kaip mes galime būti užtikrinti, kad Yahoo tikrai išspardė blogiukus, kai jie tris metus laidojo save toje sistemoje,“ stebisi ekspertai.
