VIERNES, 23 DE SEPTIEMBRE DE 2016. Yahoo ha publicado un comunicado en el que confirma que a finales del 2014 sufrió un robo de datos, que afectó al menos a 500 millones de cuentas de usuario.

En lo que ya se cataloga como el mayor robo de cuentas de usuario de la historia, la información substraída también es de gran alcance, al incluir nombres, dirección de e-mail, números de teléfono, fechas de nacimiento, el hash de las contraseñas (la mayoría con bcrypt) y en algunos casos las preguntas de seguridad y sus respuestas cifradas o sin cifrar. ¿Aun seguimos usando preguntas de seguridad?

Y aunque la investigación todavía está en curso, la propia firma cree que detrás del ataque se encuentra un Estado. Aunque tampoco aporta ninguna información sobre cómo llega a esa conclusión. También se señala que la información robada no incluía las contraseñas sin cifrar (¡solo faltaba!), datos de tarjetas de pago o información de cuentas bancarias.

Como es costumbre en estos casos, Yahoo dice lo habitual: que está notificando a los potenciales usuarios afectados, pidiendo a los usuarios que hayan podido verse afectados que cambien rápidamente sus contraseñas y adopten medios alternativos de verificación de la cuenta, está invalidado las preguntas de seguridad sin cifrar y las respuestas para que no se pueden usar para acceder a una cuenta, recomienda a todos los usuarios que no hayan cambiado sus contraseñas desde 2014 que lo hagan, que están mejorando sus sistemas para detectar y evitar accesos no autorizados a las cuentas y por supuesto están trabajando con las autoridades en esta materia.

Yahoo confirma "ahora" el robo de 500 millones de cuentas en 2014 http://uk.businessinsider.com/yahoo-hack-by-state-sponsored-actor-biggest-of-all-time-2016-9 …
01:25 - 23 sep 2016
Photo published for Yahoo confirms major breach — and it could be the largest hack of all time
Yahoo confirms major breach — and it could be the largest hack of all time
A "state-sponsored actor" has stolen over 500 million credentials from Yahoo, the company said on Thursday.

Yahoo recomienda a los usuarios utilizar la herramienta Yahoo Account Key, una utilidad de autenticación que evita el uso de contraseñas mediante el uso del móvil.

La noticia no resulta extraña, los ataques de este tipo siempre han rondado a Yahoo, el mismo 2014 (cuando datan este robo) ya confirmó un intento de intrusión y el reinicio de las contraseñas de cuenta atacadas.  

Después de todo esto, quedan muchas cuestiones en el aire. ¿Cuándo supo Yahoo realmente el robo de los datos? ¿Desde 2014 no se ha dado cuenta del robo? ¿Qué datos tiene para afirmar que hay un Estado detrás del ataque? ¿Se filtrarán o se publicarán de alguna forma los datos? ¿Dejaremos de usar las preguntas de seguridad?

Más información:

una-al-dia (02/02/2016) Los sitios web que no amaban a las contraseñas

http://unaaldia.hispasec.com/2016/02/los-sitios-web-que-no-amaban-las.html

An Important Message About Yahoo User Security

https://yahoo.tumblr.com/post/150781911849/an-important-message-about-yahoo-user-security

Account Security Issue FAQs

https://help.yahoo.com/kb/account/SLN27925.html?impressions=true

una-al-dia (31/01/2014) Si usas Yahoo Mail cambia tu contraseña

http://unaaldia.hispasec.com/2014/01/si-usas-yahoo-mail-cambia-tu-contrasena.html

una-al-dia (27/04/2012) Grave fallo de seguridad en Hotmail permitía el robo de cuentas

http://unaaldia.hispasec.com/2012/04/grave-fallo-de-seguridad-en-hotmail.html

Antonio Ropero
antonior@hispasec.com
Twitter: @aropero