¿Va a tener que acabar pagando Yahoo para que Verizon le compre? Es la pregunta que se deben estar haciendo desde la empresa después de que ésta empezase a informar anoche a sus usuarios de que ha sufrido una vulnerabilidad por tercera vez, aunque esta es diferente. Mientras las dos primeras expusieron todos los datos de sus usuarios, entre los que se encontraban usuarios, contraseñas, correos electrónicos y datos personales, en ésta se consiguió acceso directamente a través de falsificación de cookies.
Falsificación de cookies en cuentas de Yahoo en 2016
Este ataque es además mucho más reciente que los dos anteriores en los que se vieron afectadas más de 1.500 millones de cuentas de usuario, y que se convirtió en el mayor hackeo de la historia. Primero se hackearon un total de 500 millones de cuentas, para luego posteriormente confirmarse mil millones más hasta hacer un total de 1.500 millones de cuentas. Este tercer y nuevo fallo de seguridad se dio en algún momento a finales de 2015 y a lo largo de todo 2016. Desde Yahoo han confirmado el ataque a través de falsificación de cookies, pero no informaron de cuántos usuarios se habían visto afectados por el problema.
En el anuncio de ataques previos, Yahoo informó de que, en ese acceso fraudulento, los atacantes podrían haber accedido a su código propietario y habrían aprendido a falsificar cookies. Esto permite a un atacante crear cookies falsificadas y acceder a la cuenta de cualquier usuario sin necesidad de conocer la contraseña mediante la suplantación de estas cookies, haciendo creer al navegador que está utilizando las reales, cuando en realidad son fraudulentas.
Joshua B. Plotkin@jplotkinHopefully the cookie was forged by a state known for such delicacies. #yahoo #security #baking https://t.co/7gCeEd3Y5115 de febrero, 2017 • 17:51
6
2
Verizon sigue esperando para comprar Yahoo
Por tanto, podemos ver como los usuarios de Yahoo han sido totalmente vulnerables desde 2013 hasta finales de 2016 cuando Yahoo hizo públicos los fallos de seguridad e informó a todo el mundo de la gravedad del problema, a pesar de que lo conocían desde mucho antes. Además, las autoridades que están llevando el tema de los hackeos afirman que la empresa hace poco por colaborar con ellos y que sólo obtienen silencio ante algunas preguntas que éstos le realizan a Yahoo.
Mientras que a Verizon le interesa comprar Yahoo por sus patentes y su enfoque para publicidad, el hecho de que haya sufrido tantas vulnerabilidades para sus cientos de millones de usuarios ha hecho que el precio pactado inicialmente de compra de 4.800 millones de dólares haya bajado en 250 millones, y probablemente Verizon esté esperando aún más tiempo para que ese precio baje aún más y le salga más barata la compra de la empresa. Como sigan esperando y salgan a la luz más problemas de seguridad como este, al final les va a salir gratis.