La empresa de servicios de Internet Yahoo! fue objeto de la mayor filtración de datos registrada. [1] Durante la segunda mitad de 2016 se revelaron dos violaciones importantes de datos de cuentas de usuario a piratas informáticos. La primera violación anunciada, informada en septiembre de 2016, se produjo en algún momento a fines de 2014 y afectó a más de 500 millones de Yahoo! cuentas de usuario. [2] En diciembre de 2016 se informó de una filtración de datos separada, que ocurrió a principios de agosto de 2013. Inicialmente se creía que había afectado a más de mil millones de cuentas de usuario, [3] Yahoo! luego afirmó en octubre de 2017 que las 3 mil millones de sus cuentas de usuario se vieron afectadas. [4] Ambas infracciones se consideran las más grandes descubiertas.en la historia de Internet . Los detalles específicos del material tomado incluyen nombres, direcciones de correo electrónico, números de teléfono, preguntas y respuestas de seguridad cifradas o no cifradas, fechas de nacimiento y contraseñas hash . [5] Además, Yahoo! informó que la infracción de finales de 2014 probablemente utilizó cookies web fabricadas para falsificar las credenciales de inicio de sesión, lo que permite a los piratas informáticos obtener acceso a cualquier cuenta sin contraseña. [6] [7] [8] [9]
Yahoo! ha sido criticada por la divulgación tardía de las violaciones y sus medidas de seguridad, y actualmente enfrenta varias demandas e investigaciones por parte de miembros del Congreso de los Estados Unidos. Las infracciones afectaron los planes de julio de 2016 de Verizon Communications para adquirir Yahoo! por alrededor de $ 4.8 mil millones, lo que resultó en una disminución de $ 350 millones en el precio final del acuerdo cerrado en junio de 2017. [10]
Descripción
Descubrimiento de julio de 2016
Alrededor de julio de 2016, los nombres de cuentas y contraseñas de aproximadamente 200 millones de Yahoo! las cuentas se presentaron a la venta en el sitio del mercado darknet , " TheRealDeal ". [11] [12] El vendedor, conocido como "Peace_of_Mind" o simplemente "Peace", declaró en entrevistas confidenciales con Vice y Wired , que tenía los datos durante algún tiempo y los había estado vendiendo de forma privada desde finales de 2015. Peace ha anteriormente se ha conectado a ventas de datos de información privada similares de otros hacks, incluido el del hack de LinkedIn de 2012 . [13] [14] Peace declaró que los datos probablemente se remontan a 2012, y los expertos en seguridad creen que pueden haber sido parte de otros ataques de datos en ese momento; Si bien algunas de las cuentas de muestra todavía estaban activas, carecían de la información necesaria para iniciar sesión correctamente, lo que reflejaba su edad. [13] Los expertos creen que Peace es solo un intermediario de la información que los piratas informáticos obtienen y venden a través de él. [15] Yahoo! declaró que estaban al tanto de los datos y los estaban evaluando, advirtiendo a los usuarios sobre la situación, pero no restablecieron las contraseñas de las cuentas en ese momento. [13]
Incumplimiento de finales de 2014
La primera violación de datos reportada en 2016 tuvo lugar en algún momento a fines de 2014, según Yahoo! [16] [17] [18] Los piratas informáticos habían obtenido datos de más de 500 millones de cuentas de usuario, incluidos nombres de cuentas, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, contraseñas con hash y, en algunos casos, preguntas y respuestas de seguridad cifradas o no cifradas. . [19] [20] Los expertos en seguridad notaron que la mayoría de las contraseñas de Yahoo! Usaban el algoritmo hash bcrypt , que se considera difícil de descifrar, y el resto usa el algoritmo MD5 más antiguo , que puede romperse con bastante rapidez. [21]
Dicha información, especialmente las preguntas y respuestas de seguridad, podría ayudar a los piratas informáticos a entrar en otras cuentas en línea de las víctimas. [22] [23] Los expertos en seguridad informática advirtieron que el incidente podría tener consecuencias de gran alcance en lo que respecta a la privacidad, incluidas las finanzas y la banca, así como la información personal de la vida de las personas, incluida la información extraída de cualquier otra cuenta que pueda ser pirateada con el datos de la cuenta. [2] Los expertos también señalaron que puede haber millones de personas con cuentas de Flickr , Sky y / o BT que no se dan cuenta de que indirectamente tienen una cuenta de Yahoo! cuenta como resultado de adquisiciones pasadas y acuerdos hechos con Yahoo !, [24] o incluso Yahoo! usuarios que dejaron de usar sus cuentas años antes. [23] [25] [26] [27]
Yahoo! informó de la violación al público el 22 de septiembre de 2016. Yahoo! cree que la violación fue cometida por piratas informáticos " patrocinados por el estado ", [28] pero no nombró ningún país. [5] Yahoo! afirmó que el pirata informático ya no estaba en sus sistemas y que la empresa estaba cooperando plenamente con las fuerzas del orden. [29] La Oficina Federal de Investigaciones (FBI) confirmó que estaba investigando el asunto. [5]
En su presentación ante la SEC de noviembre de 2016 , Yahoo! informaron que habían tenido conocimiento de una intrusión en su red en 2014, pero no habían entendido el alcance de la violación hasta que comenzó la investigación de un incidente de violación de datos separado alrededor de julio de 2016. [6] [30] Wired cree que esta violación de datos separada involucró los datos de Peace de julio de 2016. [18] La presentación anterior de Yahoo! a la SEC el 9 de septiembre, antes del anuncio de la infracción, había declarado que no tenía conocimiento de ninguna "infracción de seguridad" o "pérdida, robo, acceso no autorizado o adquisición "de los datos del usuario. [31]
La presentación de la SEC de noviembre de 2016 señaló que la compañía creía que la violación de datos se había realizado a través de un ataque basado en cookies que permitía a los piratas informáticos autenticarse como cualquier otro usuario sin su contraseña. [6] [7] [32] Yahoo! y sus analistas de seguridad externos confirmaron que este era el método de intrusión en su anuncio de diciembre de 2016 sobre la violación de datos de agosto de 2013, y habían invalidado todas las cookies anteriores para eliminar esta ruta. [3] [8] [33] En una presentación regulatoria en 2017, Yahoo! informó que se accedió a 32 millones de cuentas a través de este ataque basado en cookies durante 2015 y 2016. [34] Varios expertos creen que la violación de seguridad fue el incidente más grande hecho público en la historia de Internet en ese momento. [5] [35]
Incumplimiento de agosto de 2013
La primera filtración de datos ocurrió en Yahoo! servidores en agosto de 2013; Yahoo! declaró que se trataba de una infracción distinta a la de finales de 2014 y fue realizada por un "tercero no autorizado". [3] Se tomaron datos similares a los de finales de 2014 de más de mil millones de cuentas de usuarios, incluidas preguntas y respuestas de seguridad no cifradas. Yahoo! informó de la infracción el 14 de diciembre de 2016 y obligó a todos los usuarios afectados a cambiar las contraseñas y a volver a ingresar las preguntas y respuestas de seguridad no cifradas para cifrarlas en el futuro. [3] En febrero de 2017, Yahoo! notificó a algunos usuarios que los datos de la infracción y las cookies falsificadas podrían haberse utilizado para acceder a estas cuentas. [36] Esta infracción se considera ahora la mayor infracción conocida de este tipo en Internet. [3] [37] En octubre de 2017, Yahoo! actualizó su evaluación del ataque y declaró que cree que todas sus 3 mil millones de cuentas en el momento de la violación de agosto de 2013 se vieron afectadas. [4] [38]
Según Yahoo! esta nueva infracción se descubrió mientras se revisaban los datos que les proporcionaron las fuerzas del orden público por parte de un hacker externo no identificado aproximadamente un mes antes. [39] Habían podido identificar el método por el cual se tomaron los datos del último pirateo de 2014 utilizando cookies falsas durante esta investigación, pero el método de la infracción de agosto de 2013 no les quedó claro en el momento de su anuncio. [3] Andrew Komarov, director de inteligencia de la empresa de ciberseguridad InfoArmor, había estado ayudando a Yahoo! y aplicación de la ley ya en respuesta a los datos de Peace. Al tratar de rastrear la fuente de los datos de Peace, descubrió evidencia de esta última violación de un vendedor de la web oscura que ofrecía una lista de más de mil millones de Yahoo! representa alrededor de $ 300.000 en agosto de 2015. Si bien se descubrió que dos de los tres compradores de estos datos eran spammers clandestinos , el tercer comprador había preguntado específicamente al vendedor de Yahoo! datos para afirmar si diez nombres de funcionarios gubernamentales de Estados Unidos y extranjeros estaban en la lista ofrecida y la información asociada con ellos. Ante la sospecha de que este comprador podría haber estado relacionado con una agencia de inteligencia extranjera, Komarov descubrió que los datos ofrecidos incluían las cuentas de más de 150.000 nombres de personas que trabajaban para el gobierno y el ejército de los Estados Unidos, así como cuentas adicionales asociadas con la Unión Europea, Canadá, Gobiernos británico y australiano. [39] [40] Komarov alertó a las agencias apropiadas sobre este nuevo conjunto de datos y comenzó a trabajar con ellos directamente. [39] Komarov señaló que si bien las políticas del gobierno de EE. UU. Han cambiado para mantener a los empleados clave de inteligencia lo más discretos posible, estos usuarios afectados probablemente configuraron Yahoo! cuentas para uso personal mucho antes de que se establecieran tales políticas, e incluían los detalles de su trabajo como parte de sus perfiles, lo que hace que esta información sea muy valiosa para los grupos de inteligencia extranjeros. [40] ¡ Komarov había optado por no ir a Yahoo! sobre los datos, ya que anteriormente habían desestimado los servicios de InfoArmor en el pasado, y Komarov creía que Yahoo! no investigaría a fondo la situación, ya que amenazaría con la compra de Verizon. [39]
Además de los problemas gubernamentales, Komarov y otras firmas de seguridad advirtieron que los datos de esta violación pueden usarse para intentar acceder a otras cuentas, ya que incluían direcciones de correo electrónico de respaldo y preguntas de seguridad. Dichos datos, advierten estos expertos, podrían usarse para crear ataques de phishing para atraer a los usuarios a revelar información confidencial que luego puede usarse con fines maliciosos. Hold Security, otra firma de ciberseguridad, observó que algunos vendedores de darkweb todavía vendían esta base de datos por hasta $ 200,000 hasta octubre de 2016; Komarov descubrió que los datos continúan estando disponibles a un precio mucho más bajo ya que las contraseñas han sido forzadas a cambiar, pero los datos aún pueden ser valiosos para ataques de phishing y para obtener acceso a otras cuentas. [39]
Atribución y motivación
Según Yahoo !, la violación de 2014 fue llevada a cabo por un "actor patrocinado por el estado" [29] y la organización afirma que tales "intrusiones y robos por parte de actores patrocinados por el estado se han vuelto cada vez más comunes en la industria de la tecnología". [22] Mientras Yahoo! no mencionó ningún país, algunos sospechan que China o Rusia están detrás del ataque, mientras que otros dudan de la afirmación de Yahoo de algún actor estatal. [5] [41] [42]
Los funcionarios de inteligencia estadounidenses, que se negaron a dar sus nombres a los medios de comunicación, destacaron las similitudes entre el ataque y las violaciones anteriores vinculadas al gobierno ruso . [5] Yahoo! en el otoño de 2014 detectó lo que creía que era una pequeña brecha "que involucraba de 30 a 40 cuentas", llevada a cabo por piratas informáticos que se cree que "trabajan en nombre del gobierno ruso", según Yahoo! ejecutivos, porque se lanzó desde computadoras en ese país. Yahoo! informó del incidente al FBI a finales de 2014 y notificó a los usuarios afectados. [43]
Sean Sullivan, asesor de seguridad de la firma de seguridad cibernética F-Secure Labs, declaró a China como su principal sospechoso y dijo que "no ha habido casos anteriores de un proveedor de servicios como Yahoo! Siendo blanco [de Rusia]", cuyos hackers tienden a para perpetrar ataques dirigidos, ya sea en áreas importantes para su economía, como el sector energético, o para socavar a los políticos, mientras que "a China le gusta aspirar todo tipo de información" y "tiene un apetito voraz por la información personal". [44] Ejemplos de violaciones de datos patrocinadas por el estado con China bajo sospecha incluyen la violación masiva de datos [45] de 18 millones de personas de la Oficina de Administración de Personal de los Estados Unidos y los ataques a Google en 2010, denominados Operación Aurora . [44]
Otros expresaron dudas sobre la afirmación de Yahoo de que el ataque está patrocinado por el estado, ya que sería menos vergonzoso para Yahoo! atribuir un ataque a un estado nacional, que normalmente tiene las capacidades de piratería más sofisticadas, que atribuirlo a un grupo o individuo ciberdelincuente , especialmente como Yahoo! estaba en medio de ser adquirido por Verizon. [41] Sin embargo, el científico investigador principal Kenneth Geers de Comodo señaló que "Yahoo! Es un jugador estratégico en la World Wide Web, lo que la convierte en un objetivo bueno y válido para la recopilación de inteligencia de los estados-nación". [41] Uno de los efectos, si no el objetivo directo, de las infracciones fue el uso de nombres de usuario y contraseñas robados para ataques de relleno de credenciales . [46]
InfoArmor emitió un informe que desafió la afirmación de Yahoo de que un estado-nación orquestó el atraco después de revisar una pequeña muestra de cuentas comprometidas. [47] InfoArmor había podido obtener la lista de cuentas afectadas para su análisis. InfoArmor determinó que la violación probablemente fue obra de una banda criminal de Europa del Este que luego vendió toda la base de datos pirateada a al menos tres clientes, incluido un grupo patrocinado por el estado. Según InfoArmor, a principios de 2015, el grupo ya no ofrecía vender la base de datos completa, sino que buscaba "extraer algo del vertedero por cantidades significativas de dinero". El informe señaló que era difícil determinar quién podría ser el autor intelectual definitivo de un pirateo, ya que los piratas informáticos a veces brindan información a las agencias de inteligencia gubernamentales u ofrecen sus servicios a cambio de un contrato. Komarov dijo que los piratas informáticos pueden estar relacionados con el Grupo E , que ha tenido un historial de venta de datos personales robados en la web oscura , principalmente a spammers clandestinos , y anteriormente estaban vinculados a infracciones en LinkedIn, Tumblr y MySpace. [48] InfoArmor había vinculado al Grupo E como la fuente de los datos ofrecidos por Peace, y creía que el Grupo E estaba negociando los datos con los vendedores de la web oscura. [15] Si bien InfoArmor no creía que una agencia patrocinada por el estado cometiera la infracción, advirtió sobre las implicaciones en las inteligencias extranjeras, ya que las infracciones "abren la puerta a oportunidades significativas para el ciberespionaje y los ataques dirigidos", y pueden ser la clave en varios ataques dirigidos contra personal del gobierno de los Estados Unidos, que se produjeron después de los contactos revelados de los funcionarios de alto nivel de la comunidad de inteligencia afectados en octubre de 2015 [47] [49].
Yahoo! declaró que la violación de 2013 está relacionada "con el mismo actor patrocinado por el estado que se cree que es responsable del robo de datos que la compañía reveló el 22 de septiembre de 2016". [37] Los portavoces de la Casa Blanca declararon que el FBI está investigando actualmente esta violación, aunque el alcance de su impacto no está claro. [50] Un funcionario de Estados Unidos, hablando con CBS News , dice que los investigadores del gobierno están de acuerdo con Yahoo! que el ataque fue patrocinado por un estado extranjero, posiblemente Rusia . [51] Los expertos en seguridad especulan que debido a que pocos datos de esta infracción de 2013 se han puesto a disposición en el mercado negro, es probable que la infracción tuviera como objetivo encontrar información sobre personas específicas. [51]
Enjuiciamiento
El 15 de marzo de 2017, el FBI acusó oficialmente la violación de 2014 a cuatro hombres, incluidos dos que trabajan para el Servicio Federal de Seguridad de Rusia (FSB). En su declaración, el FBI dijo que "la conducta delictiva en cuestión, llevada a cabo y facilitada por agentes de una unidad del FSB que sirve como punto de contacto del FBI en Moscú sobre asuntos de ciberdelincuencia, está fuera de lugar". [52] Los cuatro hombres acusados incluyen Alexsey Belan , un pirata informático en la fugitivos del FBI diez hombres más buscados lista, agentes del FSB Dmitry Dokuchaev e Igor Sushchin que el FBI acusado de pagar Belan y otros hackers para llevar a cabo el corte, y el pirata informático canadiense Karim Baratov que el FBI afirmó que Dokuchaev y Sushchin le pagaron para usar los datos obtenidos por Yahoo! infracciones a aproximadamente 80 que no son de Yahoo! cuentas de objetivos específicos. [53] Baratov, el único hombre actualmente arrestado, fue extraditado a los Estados Unidos, aunque se declaró inocente de los cargos en agosto de 2017. [53] Sin embargo, más tarde se declaró culpable, admitiendo haber pirateado al menos 80 cuentas de correo electrónico en nombre de los contactos rusos. Fue acusado de nueve cargos de piratería informática, y en mayo de 2018 fue sentenciado a 5 años de prisión y se le ordenó pagar 2,25 millones de dólares y restitución a sus víctimas. [54]
Respuestas legales y comerciales
Yahoo!
La demora de Yahoo! En descubrir y reportar estas infracciones, así como en implementar funciones de seguridad mejoradas, se ha convertido en un punto de crítica. [55] Yahoo! ha sido acusado de tener una actitud aparentemente laxa hacia la seguridad: la empresa, según se informa, no implementa nuevas funciones de seguridad tan rápido como otras empresas de Internet, y después de Yahoo! fue identificado por Edward Snowden como un objetivo frecuente para los piratas informáticos patrocinados por el estado en 2013, la compañía tardó un año completo antes de contratar a un director de seguridad de la información dedicado, Alex Stamos . Si bien los expertos en tecnología elogiaron la contratación de Stamos por demostrar el compromiso de Yahoo! Con una mejor seguridad, Yahoo! Según los informes, la directora ejecutiva Marissa Mayer le había negado a Stamos y a su equipo de seguridad fondos suficientes para implementar las medidas de seguridad recomendadas más estrictas, y abandonó la empresa en 2015. Los expertos han señalado que Yahoo !, solo hasta las violaciones más recientes, no había obligado a los usuarios afectados a cambiar sus contraseñas, un movimiento que Mayer y su equipo creían que alejaría a los usuarios del servicio. [56] Algunos expertos afirmaron que implementar medidas de seguridad más estrictas requiere recursos monetarios, y la situación financiera de Yahoo! No le ha permitido a la empresa invertir en ciberseguridad. [55]
La revisión interna de Yahoo! De la situación encontró que Mayer y otros ejecutivos clave sabían de las intrusiones, pero no informaron a la empresa ni tomaron medidas para evitar nuevas infracciones. La revisión llevó a la renuncia del principal abogado de la compañía, Ronald S. Bell, en marzo de 2017, y se retiró el bono de compensación de capital de Mayer para 2016 y 2017. [57]
Acuerdo de fusión de Verizon Communications
En julio de 2016, antes del anuncio de las infracciones, Verizon Communications había iniciado negociaciones y había aprobado la compra de una parte de Yahoo! propiedades por $ 4.8 mil millones, y el acuerdo se cerrará en marzo de 2017. [35] Verizon solo se había enterado de la violación de 2014 solo dos días antes de Yahoo! Anuncio de septiembre. [5] El CEO Lowell McAdam dijo que no estaba sorprendido por el hack, diciendo que "todos vivimos en un mundo de Internet, no se trata de si te van a piratear, sino de cuándo te van a piratear". Dejó la puerta abierta para posiblemente renegociar el precio de $ 4.830 millones. [58] Craig Silliman, abogado general de Verizon, dijo a los periodistas en Washington que Verizon tiene "una base razonable para creer en este momento que el impacto es material" y que están "mirando a Yahoo para demostrar [...] el impacto total". La reputación de la compañía ha sufrido en línea en los últimos meses, según un análisis de la firma de marketing Spredfast: alrededor del 90 por ciento de los comentarios de Twitter sobre Yahoo! fueron negativos en octubre, frente al 68 por ciento en agosto, antes de la noticia del hack. [59] Tras el anuncio del incumplimiento de agosto de 2013, Verizon supuestamente buscaba cambiar los términos del acuerdo para reflejar el impacto de estos incumplimientos, incluida la reducción de su oferta o la posibilidad de buscar acciones judiciales para rescindir el acuerdo. Verizon declaró que "revisarán el impacto de este nuevo desarrollo antes de llegar a conclusiones finales". [60] En febrero de 2017, Verizon y Yahoo! anunció que el acuerdo seguirá adelante, pero reduciendo el precio de venta en $ 350 millones, hasta $ 4,48 mil millones. [61] El acuerdo se cerró oficialmente a este precio reducido en junio de 2017, y Mayer dejó el cargo de director ejecutivo tras el cierre. [62] Verizon y Yahoo! Compartirá conjuntamente los costos en curso de la investigación gubernamental de las infracciones bajo este nuevo término. [63] Las propiedades restantes de Yahoo! no adquiridos por Verizon, que incluía al Grupo Alibaba , pasaron a llamarse Altaba en junio de 2017. [64]
Gobierno de los Estados Unidos
Los miembros del gobierno de los Estados Unidos han criticado las reacciones de Yahoo! A estas violaciones. En una carta a Yahoo! La directora ejecutiva Marissa Mayer , seis senadores demócratas estadounidenses ( Elizabeth Warren , Patrick Leahy , Al Franken , Richard Blumenthal , Ron Wyden y Ed Markey ) exigieron respuestas sobre cuándo Yahoo! descubrió la última violación de 2014, y por qué tomó tanto tiempo divulgarla al público, calificando el lapso de tiempo entre la violación de seguridad y su divulgación como 'inaceptable'. [65] [66] [67] El 26 de septiembre de 2016, el senador demócrata Mark Warner pidió a la Comisión de Bolsa y Valores de Estados Unidos (SEC) que investigara si Yahoo! y sus altos ejecutivos cumplieron con sus obligaciones bajo las leyes federales de valores para divulgar adecuadamente el ataque. En su carta, [68] Warner también pidió a la SEC que evaluara si el actual régimen de divulgación era adecuado. Jacob Olcott, quien ayudó a desarrollar las reglas de divulgación de violación de datos de la SEC y ex abogado del Comité de Comercio del Senado, señaló que debido al tamaño de la violación, el intenso escrutinio público y la incertidumbre sobre el momento del descubrimiento de Yahoo, el hack podría convertirse en un caso de prueba del Directrices de la SEC. [69] [70] Tras el anuncio de la violación de agosto de 2013, el senador Warner pidió una investigación completa de la situación, preguntando "por qué sus ciberdefensas han sido tan débiles como para haber comprometido a más de mil millones de usuarios". [60] En abril de 2018, la SEC anunció que había llegado a un acuerdo con Altaba, la empresa que posee los activos de Yahoo! no comprado por Verizon, por US $ 35 millones por no divulgar la infracción de 2014 de manera oportuna. [71]
Demandas colectivas
Para el 9 de noviembre de 2016, se informó que se habían presentado 23 demandas relacionadas con el incumplimiento de fines de 2014 contra Yahoo! hasta aquí. [30] En una demanda, presentada en el Tribunal de Distrito de los Estados Unidos para el Distrito Sur de California en San Diego , los demandantes sostienen que el ataque provocó una "intromisión en asuntos financieros personales". En otra demanda, presentada en el Tribunal de Distrito de EE. UU. Para el Distrito Norte de California en San José , el demandante sostiene que Yahoo! actuó con negligencia grave al tratar y denunciar la violación de seguridad. Yahoo! se negó a comentar sobre el litigio en curso. [35] Cinco de estos 23 casos se combinaron en una sola demanda a principios de diciembre de 2016 para ser escuchado en San José en marzo de 2017. [72] El juez presidente autorizó que la demanda colectiva avanzara en agosto de 2017, citando que aquellos afectados por la violación tenía derecho a demandar a Yahoo! por incumplimiento de contrato y reclamaciones de competencia desleal realizadas en la presentación original. [73] El caso se modificó más tarde para incluir la información actualizada sobre la violación tras el anuncio de Yahoo! Sobre agosto de 2013. En marzo de 2018, Verizon, que había completado su adquisición de Yahoo !, trató de desestimar gran parte del caso, pero el juez Lucy H. Koh se negó, permitiendo que las reclamaciones relacionadas con incumplimiento de contrato y negligencia se juzgaran en el juicio. [74] Antes de que pudiera comenzar el juicio, Verizon y Altaba acordaron dividir el costo de un acuerdo de 50 millones de dólares estadounidenses en octubre de 2018 con los de la demanda colectiva (un total estimado de 200 millones de usuarios), además de proporcionar dos años de monitoreo crediticio gratuito a través de AllClear ID , pendiente de aprobación por el juez Koh. En el acuerdo, aquellos que puedan documentar el daño por robo de identidad debido a la infracción pueden solicitar hasta US $ 375 del acuerdo; de lo contrario, aquellos con cuentas de Yahoo afectadas pueden solicitar hasta US $ 125 . [75] El juez Koh rechazó la oferta de conciliación, cuestionando la falta de transparencia de los detalles de las conciliaciones, así como los altos costos recuperados por los abogados a través de la conciliación. [76] Yahoo! finalmente acordó conformarse con $ 117.5 millones en abril de 2019, nuevamente ofreciendo a los usuarios afectados monitoreo de crédito o un pago en efectivo dependiendo de la cantidad de encuestados en la clase. [77]
Tras el anuncio del 14 de diciembre de los ataques de agosto de 2013, se presentó otra demanda colectiva contra Yahoo! en el estado de Nueva York en nombre de todos los residentes de Estados Unidos afectados, afirmando que "Yahoo! falló, y sigue fracasando, en proporcionar la protección adecuada de la información personal y confidencial de sus usuarios". [78]
Internacional
Los gobiernos extranjeros también han mostrado preocupación por las diversas violaciones de datos. El 28 de octubre, el "Grupo de Trabajo del Artículo 29" de los reguladores de la privacidad europeos describió en una carta las preocupaciones sobre la violación de datos de 2014, así como las acusaciones de que la empresa construyó un sistema que escaneaba los correos electrónicos entrantes de los clientes a petición de los servicios de inteligencia de EE. UU. [79] a Yahoo. [80] Le preguntaron a Yahoo! comunicar todos los aspectos de la violación de datos a las autoridades de la UE, notificar a los usuarios afectados de los "efectos adversos" y cooperar con todas las "próximas investigaciones y / o investigaciones de las autoridades nacionales de protección de datos". [81] A finales de noviembre, el Comisionado de Protección de Datos de Irlanda (DPC), el principal regulador europeo en cuestiones de privacidad para Yahoo! cuya sede europea se encuentra en Dublín, dijo que había intensificado su examen de la violación, que estaba esperando información de Yahoo! sobre las acusaciones de que ayudó al gobierno de EE. UU. a escanear los correos electrónicos de los usuarios, y que Yahoo! no estaba investigando la infracción, sino simplemente examinándola. [82] La Oficina Federal de Seguridad de la Información de Alemania criticó a Yahoo! tras el anuncio de diciembre de 2016, afirmó que "la seguridad no es un concepto extranjero", y advirtió al gobierno y a otros usuarios alemanes que busquen soluciones de correo electrónico e Internet de empresas con mejores enfoques de seguridad. [83]
Ver también
- 2012 Yahoo! Hack de voces
- Guerra corporativa
- Seguridad de la base de datos
- Seguridad de información
- Seguridad de Internet
- Lista de violaciones de datos
- Autenticación multifactor
- Hacker de seguridad
- Alfabetización web
Referencias
- ^ Cook, James (16 de octubre de 2020). "British Airways multada con 20 millones de libras esterlinas por violación de datos que afecta a 400.000 clientes" . El telégrafo . ISSN 0307-1235 . Consultado el 17 de octubre de 2020 .
- ^ a b Perlroth, Nicole (22 de septiembre de 2016). "Yahoo dice que los piratas informáticos robaron datos sobre 500 millones de usuarios en 2014" . The New York Times . Consultado el 22 de septiembre de 2016 .
- ^ a b c d e f Goel, Vindu (14 de diciembre de 2016). "Yahoo dice que mil millones de cuentas de usuario fueron pirateadas" . The New York Times . Consultado el 14 de diciembre de 2016 .
- ^ a b McMillan, Robert; Knutson, Ryan (3 de octubre de 2017). "Yahoo triplica la estimación de cuentas incumplidas a 3" . El Wall Street Journal . Consultado el 3 de octubre de 2017 .
- ^ a b c d e f g "Los piratas informáticos 'estatales' de Yahoo robaron datos de 500 millones de usuarios" . BBC News . 23 de septiembre de 2016 . Consultado el 23 de septiembre de 2016 .
- ^ a b c "Yahoo descubrió un hack que condujo a una importante violación de datos dos años antes de que se revelara" . The Washington Post . Consultado el 10 de noviembre de 2016 .
- ^ a b "Yahoo sabía del hackeo 'respaldado por el estado' en 2014" . BBC . Consultado el 10 de noviembre de 2016 .
- ^ a b Newman, Lily Hay (14 de diciembre de 2016). "Resumen de piratería: los piratas informáticos rompen mil millones de cuentas de Yahoo. Mil millones" . Cableado . Consultado el 15 de diciembre de 2016 .
- ^ Gammarays (16 de enero de 2009). "Una autopsia de la seguridad de la cuenta de Yahoo!" . Explotar la base de datos . Consultado el 16 de febrero de 2020 .
- ^ Goel, Vindu (21 de febrero de 2017). "Verizon pagará $ 350 millones menos por Yahoo (publicado en 2017)" . The New York Times . ISSN 0362-4331 . Consultado el 8 de noviembre de 2020 .
- ^ Cox, Joseph. "El administrador del infame mercado de piratería de la Dark Web ha desaparecido" . Vice placa base . Consultado el 22 de septiembre de 2016 .
- ^ Szoldra, Paul. "El mercado de la web oscura donde puedes comprar 200 millones de cuentas de Yahoo está bajo ciberataque" . Business Insider . Consultado el 22 de septiembre de 2016 .
- ^ a b c Cox, Joseph (1 de agosto de 2016). "Yahoo 'Aware' Hacker está anunciando 200 millones de cuentas supuestas en la Dark Web" . Vice . Consultado el 16 de diciembre de 2016 .
- ^ Greenberg, Andy. "Una entrevista con el hacker probablemente vendiendo su contraseña ahora mismo" . CON CABLE . Consultado el 22 de septiembre de 2016 .
- ^ a b Szoldra, Paul. "Una empresa de ciberseguridad está contando dos historias muy diferentes del hackeo de Yahoo a las organizaciones de noticias" . Consultado el 15 de octubre de 2016 .
- ^ Brian, Womack. "Yahoo dice al menos 500 millones de cuentas violadas en un ataque" . Bloomberg LP . Consultado el 22 de septiembre de 2016 .
- ^ Cox, Joseph. "Yahoo 'Aware' Hacker está anunciando 200 millones de cuentas supuestas en la Dark Web" . Vice placa base . Consultado el 25 de septiembre de 2016 .
- ^ a b Greenberg, Andy (22 de septiembre de 2016). "Resumen de Hack: Yahoo Breach golpea a medio billón de usuarios" . Cableado . Consultado el 15 de diciembre de 2016 .
- ^ Newcomb, Alyssa (22 de septiembre de 2016). "Yahoo dice 'actor patrocinado por el estado' pirateó 500 millones de cuentas" . NBC News . Consultado el 22 de septiembre de 2016 .
- ^ "Preguntas frecuentes sobre problemas de seguridad de la cuenta" . Yahoo! . Consultado el 23 de septiembre de 2016 .
- ^ Goodin, Dan (22 de septiembre de 2016). "Yahoo dice 500 millones de cuentas violadas por piratas informáticos patrocinados por la nación" . Ars Technica . Consultado el 15 de diciembre de 2016 .
- ^ a b "Yahoo dice que el hackeo 'patrocinado por el estado' robó datos personales de 500 millones de cuentas" . El Nacional . Consultado el 25 de septiembre de 2016 .
- ^ a b Weise, Elizabeth. "¿Eres usuario de Yahoo? Haz esto ahora mismo" . USA Today . Consultado el 25 de septiembre de 2016 .
- ^ Brown, Aaron. "Si es cliente de Sky o BT, debe restablecer su contraseña AHORA después de la piratería de Yahoo" . Sunday Express . Consultado el 25 de septiembre de 2016 .
- ^ Isidoro, Chris. "Podrías tener una cuenta de Yahoo sin siquiera saberlo" . CNN . Consultado el 25 de septiembre de 2016 .
- ^ Joseph, Rebecca. "Esto es lo que necesita saber sobre el truco de Yahoo" . GlobalNews . Consultado el 25 de septiembre de 2016 .
- ^ Griffin, Andrew. "Hackeo de Yahoo: Cientos de millones de personas probablemente no sepan que son parte de la filtración de datos más grande del mundo" . The Independent . Consultado el 25 de septiembre de 2016 .
- ^ Tsukayama, Hayley; Timberg, Craig; Fung, Brian (22 de septiembre de 2016). "Yahoo confirma la violación de datos que afecta al menos a 500 millones de cuentas" . The Washington Post . Consultado el 22 de septiembre de 2016 .
- ^ a b "Yahoo confirma la violación de datos que afecta al menos a 500 millones de cuentas" . The Washington Post . 22 de septiembre de 2016 . Consultado el 22 de septiembre de 2016 .
- ^ a b "Los empleados de Yahoo sabían en 2014 sobre el ataque de piratas informáticos patrocinado por el estado" . The New York Times . Consultado el 10 de noviembre de 2016 .
- ^ McMillan, Robert. "Los piratas informáticos de Yahoo eran delincuentes en lugar de patrocinados por el estado, dice la empresa de seguridad" . El Wall Street Journal . Consultado el 15 de octubre de 2016 .
- ^ Vaas, Lisa. "El personal de Yahoo sabía que fueron violados hace dos años" . Seguridad desnuda . Consultado el 12 de diciembre de 2016 .
- ^ "Aviso de seguridad de Yahoo 14 de diciembre de 2016" . Yahoo !. 14 de diciembre de 2016 . Consultado el 17 de febrero de 2017 .
- ^ Lawler, Richard (1 de marzo de 2017). "Los piratas informáticos de Yahoo accedieron a 32 millones de cuentas con cookies falsificadas" . Engadget . Consultado el 1 de marzo de 2017 .
- ^ a b c Larson, Selena (23 de septiembre de 2016). "Yahoo enfrenta demandas a raíz de una violación masiva de datos" . CNN . Consultado el 25 de septiembre de 2016 .
- ^ Castillo, Michelle (15 de febrero de 2017). "La nueva advertencia de hackeo de Yahoo proviene de una tercera infracción, dice la compañía" . CNBC . Consultado el 18 de febrero de 2017 .
- ^ a b Wells, Nicholas; Fahey, Mark (15 de diciembre de 2016). "Cómo la violación de mil millones de cuentas de Yahoo se compara con los mayores hackeos de la historia" . CNBC . Consultado el 15 de diciembre de 2016 .
- ^ Haselton, Todd (3 de octubre de 2017). "Yahoo acaba de decir que todas las cuentas se vieron afectadas por el ataque de 2013: 3.000 millones en total" . CNBC . Consultado el 3 de octubre de 2017 .
- ^ a b c d e Goel, Vindu; Perlroth, Nicole (16 de diciembre de 2016). "Los datos pirateados de Yahoo están a la venta en la Dark Web" . The New York Times . Consultado el 16 de diciembre de 2016 .
- ^ a b May, Patrick (15 de diciembre de 2016). "Cómo un super detective cibernético ayudó a romper el enorme hackeo de Yahoo" . Las noticias de Mercury . Consultado el 15 de diciembre de 2016 .
- ^ a b c Solon, Olivia. "China y Rusia lideran la lista de sospechosos de pirateo de Yahoo, pero alguna teoría de la duda" . The Guardian . Consultado el 25 de septiembre de 2016 .
- ^ "Los sospechosos de hackers estadounidenses en China rompieron los récords de alrededor de 4 millones de personas, dicen los funcionarios" . El Wall Street Journal . Consultado el 26 de septiembre de 2016 .
- ^ McMillan, Robert. "Los ejecutivos de Yahoo detectaron un pirateo vinculado a Rusia en 2014" . El Wall Street Journal . Consultado el 25 de septiembre de 2016 .
- ^ a b Murgia, Madhumita. "Los expertos cibernéticos buscan sospechosos habituales en Yahoo hack" . Financial Times . Consultado el 25 de septiembre de 2016 .
- ^ Nakashima, Ellen. "Datos de violación de seguridad nacional chinos de 4 millones de trabajadores federales" . The Washington Post . Consultado el 25 de septiembre de 2016 .
- ^ Horgan, Richard. "Incumplimiento de Yahoo puede haber llevado a 'relleno de credenciales ' " . AdWeek . Consultado el 23 de marzo de 2017 .
- ^ a b "InfoArmor: investigación de violación de datos de Yahoo" . Consultado el 15 de octubre de 2016 .
- ^ "Aquí está quién hackeó Yahoo, según una empresa de ciberseguridad" . Fortuna . Consultado el 15 de octubre de 2016 .
- ^ Womack, Brian. "Yahoo pirateado por delincuentes, no patrocinador estatal, dice la empresa de seguridad" . Bloomberg LP . Consultado el 15 de octubre de 2016 .
- ^ "La Casa Blanca dice que el FBI está investigando el último truco de Yahoo" . Reuters . 15 de diciembre de 2016 . Consultado el 15 de diciembre de 2016 .
- ^ a b "La policía dice que los hackeos de cuentas de Yahoo probablemente fueron patrocinados por gobiernos extranjeros" . CBS News . 15 de diciembre de 2016 . Consultado el 15 de diciembre de 2016 .
- ^ Goel, Vindu (15 de marzo de 2017). "Los agentes rusos estaban detrás de Yahoo Breach, dice Estados Unidos" . The New York Times . Consultado el 15 de marzo de 2017 .
- ^ a b Raymond, Nate (24 de noviembre de 2017). "Canadiense acusado en el caso de piratería informática de Yahoo para declararse culpable en EE.UU." Reuters . Consultado el 27 de noviembre de 2017 .
- ^ Moon, Mariella (30 de mayo de 2018). "El atacante involucrado en el hack de Yahoo 2014 recibe cinco años de prisión" . Engadget . Consultado el 30 de mayo de 2018 .
- ^ a b "Por qué los problemas de seguridad de Yahoo son una historia de demasiado poco, demasiado tarde" . Reuters . 19 de diciembre de 2016 . Consultado el 19 de diciembre de 2016 .
- ^ Perlroth, Nicole; Goel, Vindu (28 de septiembre de 2016). "La defensa contra los piratas informáticos ocupó un segundo plano en Yahoo, dicen los iniciados" . The New York Times . Consultado el 15 de diciembre de 2016 .
- ^ Goel, Vindu (1 de marzo de 2017). "Abogado superior de Yahoo dimite y CEO Marissa Mayer pierde bonificación a raíz de Hack" . The New York Times . Consultado el 15 de marzo de 2017 .
- ^ "El director ejecutivo de Verizon dice evaluar si Yahoo Hack tuvo 'impacto material ' " . El Wall Street Journal . Consultado el 15 de octubre de 2016 .
- ^ "Verizon dice que Yahoo Hack podría reabrir conversaciones de acuerdo de $ 4.8 mil millones" . The New York Times . Consultado el 15 de octubre de 2016 .
- ^ a b Roumeliotis, Greg; Volz, Dustin (15 de diciembre de 2016). "Las acciones de Yahoo caen por temor a que una nueva infracción acabe con el acuerdo de Verizon" . Reuters . Consultado el 15 de diciembre de 2016 .
- ^ "Violación de datos de Yahoo: ¿Qué sucedió realmente?" . BPB en línea . Consultado el 28 de abril de 2021 .
- ^ "Verizon cierra trato con Yahoo, Mayer dimite" . Reuters . 14 de junio de 2017 . Consultado el 14 de junio de 2017 .
- ^ "Verizon revisa el acuerdo con Yahoo a $ 4,48 mil millones" . Reuters . 21 de febrero de 2017 . Consultado el 21 de febrero de 2017 , a través de CNBC .
- ^ La Monica, Paul (19 de junio de 2017). "Hasta luego, Yahoo. Hola ... ¿Altaba?" . CNN . Consultado el 24 de abril de 2018 .
- ^ "Carta a Marissa Mayer firmada por 6 senadores" (PDF) . leahy.senate.gov . Consultado el 30 de septiembre de 2016 .
- ^ Fisher, Dennis. "Los senadores exigen respuestas de Mayer sobre la violación de datos de Yahoo" . OnTheWire . Consultado el 30 de septiembre de 2016 .
- ^ Kuchler, Hannah. "Los senadores estadounidenses exigen respuestas de Yahoo" . The Financial Times . Consultado el 30 de septiembre de 2016 .
- ^ "20160926 Carta a la SEC sobre incumplimiento de Yahoo" . Consultado el 13 de diciembre de 2016 .
- ^ Volz, Dustin. "El hack de Yahoo puede convertirse en un caso de prueba para las reglas de divulgación de violación de datos de la SEC" . Reuters . Consultado el 13 de diciembre de 2016 .
- ^ "El senador Warner pide a la SEC que investigue la divulgación de la infracción de Yahoo" . 26 de septiembre de 2016 . Consultado el 13 de diciembre de 2016 .
- ^ Kastrenakes, Jacob (24 de abril de 2018). "La SEC emite una multa de 35 millones de dólares por que Yahoo no haya revelado una violación de datos" . The Verge . Consultado el 24 de abril de 2018 .
- ^ Baron, Ethan (8 de diciembre de 2016). "Demandas colectivas por violación de datos de Yahoo se unieron en el tribunal federal de San José" . Silicon Beat . Consultado el 15 de diciembre de 2016 .
- ^ Stempel, Jonathan (31 de agosto de 2017). "Yahoo debe enfrentar un litigio por parte de las víctimas de violación de datos: juez de EE . Reuters . Consultado el 31 de agosto de 2017 .
- ^ Stempel, Jonathan (12 de marzo de 2018). "Las víctimas de violación de datos pueden demandar a Yahoo en los Estados Unidos: juez" . Reuters . Consultado el 12 de marzo de 2018 .
- ^ Liedtke, Michael (23 de octubre de 2018). "Yahoo para pagar 50 millones de dólares, otros costos por violación de seguridad masiva" . ABC News . Consultado el 23 de octubre de 2018 .
- ^ Fingas, Jon (29 de enero de 2019). "El juez rechaza el acuerdo propuesto por Yahoo sobre violaciones de datos" . Engadget . Consultado el 29 de enero de 2019 .
- ^ Brodkin, Jon (10 de abril de 2019). "Yahoo intenta resolver la violación de datos de 3.000 millones de cuentas con un pago de 118 millones de dólares" . Ars Technica . Consultado el 1 de octubre de 2019 .
- ^ Fisk, Margaret Cronin (15 de diciembre de 2016). "Yahoo no pudo proteger a los consumidores de la piratería, dice la demanda" . Bloomberg . Consultado el 15 de diciembre de 2016 .
- ^ "Carta del Grupo de Trabajo de Protección de Datos del ARTÍCULO 29 a Yahoo!" (PDF) . Consultado el 2 de noviembre de 2016 .
- ^ "La UE emite una advertencia de protección de datos a WhatsApp, Yahoo" . El Wall Street Journal . Consultado el 29 de octubre de 2016 .
- ^ Fioretti, Julia. "Los perros guardianes de protección de datos de la UE advierten a WhatsApp, Yahoo sobre la privacidad" . Reuters . Consultado el 29 de octubre de 2016 .
- ^ Bergin, Tom. "El regulador de datos irlandés intensifica la investigación de hackeo de Yahoo, espera el análisis de correo electrónico" . Reuters . Consultado el 26 de noviembre de 2016 .
- ^ "Alemania golpea a Yahoo sobre las prácticas de ciberseguridad" . Reuters . 15 de diciembre de 2016 . Consultado el 15 de diciembre de 2016 .
enlaces externos
- Preguntas frecuentes sobre problemas de seguridad de la cuenta de Yahoo