Si tenías una cuenta de Yahoo en 2013, tus datos fueron robados. Seguimos conociendo los detalles del mayor ataque informático de la historia y son cada vez más alucinantes. Yahoo ya había admitido que mil millones de usuarios fueron afectados por el hackeo y ahora triplica esa cifra ante las autoridades.
“Después de la adquisición de Yahoo por parte Verizon y durante la integración [en una nueva empresa llamada Oath], la compañía ha obtenido nueva inteligencia y ahora cree, tras una investigación con ayuda de expertos forenses externos, que todas las cuentas de usuario de Yahoo [tres mil millones] fueron afectadas por el robo de agosto de 2013”, reveló la compañía ante la Comisión de Bolsa y Valores de Estados Unidos.
Afortunadamente, si bien algunos datos personales quedaron comprometidos, las contraseñas de la base de datos estaban cifradas y no se filtraron tarjetas o cuentas bancarias. La información robada puede incluir nombres, direcciones de correo electrónico, números de teléfono y fechas de nacimiento, además de las contraseñas hasheadas con bcrypt. En algunos casos también se filtraron preguntas y respuestas de seguridad, cifradas o sin cifrar.
El ataque fue atribuido a un agente que actuó bajo la financiación de algún Estado. Los atacantes accedieron al código interno de la compañía, adulterando las cookies para acceder a las cuentas de correo electrónico de ciertos objetivos y colocar enlaces fraudulentos en los resultados de búsqueda de Yahoo.
Yahoo ya requirió a los mil millones de usuarios que creía que habían sido afectados cambiar sus contraseñas y preguntas de seguridad. Ahora estos cambios también serán requeridos para el resto de cuentas afectadas.
La de Yahoo es la mayor filtración de datos de la historia. ’;—have i been pwned? enumera tres que quedan por detrás:
- MySpace - 359 millones de cuentas: El robo se produjo en 2008, la base de datos se puso a la venta en mayo de 2016. Las contraseñas están cifradas con SHA-1, un hash que se considera inseguro.
- LinkedIn - 164 millones de cuentas: El robo se produjo en 2012, las credenciales se pusieron a la venta en mayo de 2016. Las contraseñas estaban hasheadas con SHA-1 sin sal, un cifrado muy inseguro.
- Adobe - 152 millones de cuentas: El robo se produjo en octubre de 2013. La compañía dio una cifra de algo menos de tres millones de usuarios, luego se descubrió que el ataque afectaba a 152 millones. Muchas de las contraseñas pudieron ser descifradas.
Otros grandes ataques informáticos incluyen a eBay (145 millones de cuentas), PlayStation Network (77 millones de cuentas) y Evernote (50 millones de cuentas). Pero la lista no termina aquí. Blizzard, Ubisoft, AT&T, Facebook o Apple son algunas de las grandes empresas cuyos servicios han caído alguna vez víctima de los hackers.