Assim como no ataque anterior, o Yahoo está descobrindo o vazamento muito depois do problema ter acontecido, mas o caso de hoje é ainda mais grave: o ataque divulgado anteriormente teria ocorrido no final de 2014, enquanto o de hoje aconteceu em agosto de 2013 (sim, antes).
As informações vazadas incluem “nomes, endereços de e-mail, números de telefone, datas de nascimento, hashes de senhas (com MD5) e, em alguns casos, perguntas e respostas de segurança criptografadas ou não”. Dados bancários e de cartões de crédito estavam armazenados em outros servidores e não foram acessados (ou pelo menos o Yahoo ainda não divulgou que foram acessados; talvez a gente saiba de algo em 2018). Segundo o Yahoo, uma pessoa não autorizada conseguiu acessar o código-fonte de um dos sistemas da empresa e descobriu como falsificar cookies para acessar contas de usuários mesmo sem saber a senha. O Yahoo afirma ter invalidado todos os cookies falsificados e notificou individualmente as contas acessadas indevidamente. Recentemente, o Yahoo admitiu que alguns de seus funcionários sabiam do outro vazamento desde 2014. A empresa também foi criticada por ex-funcionários, que declararam que a CEO Marissa Mayer cortou recursos da equipe de segurança da informação e paralisou o desenvolvimento de tecnologias de detecção de invasão. O acordo da Verizon para comprar o Yahoo por US$ 4,8 bilhões deve ser renegociado. O Yahoo recomenda que todos os usuários troquem suas senhas, verifiquem atividades suspeitas em suas contas e redefinam as perguntas de segurança. Mas a minha recomendação é que você simplesmente exclua a sua conta, se ainda não fez isso — aqui estão as instruções.
