Компании Yahoo хакеры получили доступ к 32 миллионов аккаунтов с фальшивыми печенье

Блумберг через Гетти изображений

В нормативных подачи, компания Yahoo раскрыла некоторые дополнительные подробности о данных нарушениях, которые затрагивают более миллиарда учетных записей. Среди этой информации является новость о том, что хакеры, которые получили код Yahoo и смогли создать свои собственные cookie-файлы были в состоянии получить доступ к 32 миллионов аккаунтов в 2015 и 2016 годах. Кроме того, 10-к заявлению предоставлены сек говорит, что Yahoo будет сообщено 26 лиц и консультировались с правоохранительными органами после того, как стало известно, что спонсируемые государством хакеры используют свои средства для управления счетом для доступа.

Компания Yahoo публично продемонстрировал степень этих нарушений в декабре, но признается в докладе, что в 2014 году «похоже, некоторые руководители не правильно понять или исследовать, и поэтому не в состоянии действовать достаточно на полный объем знаний известен внутри компании по информационной безопасности группы».

В результате расследования, его правление решило, что генеральный директор Марисса Майер не получите денежный бонус, который она должна была получить в 2016 году, в то время как генеральный адвокат Рональд С. Белл подал в отставку. В результате откровений, что информация по счету были похищены, что говорит Майер ей стало известно в сентябре прошлого года, компания Verizon сократить 350 миллионов долларов из своего предложение о приобретении компании Yahoo.

на //marissamayr.tumblr.com/post/157876672644/update-on-yahoos-security-incident

Инцидентов В Области Безопасности

Описание событий

22 сентября, 2016, нами установлено, что копия определенной информации об учетной записи Пользователя на сумму примерно 500 миллионов аккаунтов было украдено из сети Yahoo в конце 2014 года («2014 происшествия»). Компания считает, что учетная запись Пользователя была украдена государственная актера. Учетные данные изъяты включали имена, адреса электронной почты, телефонные номера, даты рождения, пароли (в подавляющем большинстве с алгоритмом «осуществляется» хеширование) и, в некоторых случаях, зашифрованные или незашифрованные секретные вопросы и ответы. Наши судебно-медицинской экспертизы свидетельствует о том, что украденная информация не включает незащищенные пароли, данные платежных карт или банковского счета. Данные платежной карты и банковского счета не сохраняются в системе, что следствие установило, будут затронуты информацию. У нас нет никаких доказательств, что государство-спонсор актер в настоящее время находится в или доступа к сети компании.

14 декабря, 2016, нами установлено, что, исходя из нашего вне судебно-экспертного анализа данных, предоставленных компанией в ноябре 2016 правоохранительных органов, мы считаем третьим лицам украл данные, связанные с более одного миллиарда учетных записей пользователей в августе 2013 года («2013 происшествия»). Мы не смогли выявить заражения, связанных с этой кражей, и мы считаем, что этот инцидент, скорее всего, отличается от инцидента безопасности 2014. Для потенциально затрагиваемых счетов, учетная запись Пользователя украденной информации были имена, адреса электронной почты, телефонные номера, даты рождения, пароли (используя алгоритм MD5) и, в некоторых случаях, зашифрованные или незашифрованные секретные вопросы и ответы. Украденная информация не включать пароли в виде обычного текста, данных платежных карт или банковского счета.

В ноябре и декабре 2016 года, мы показали, что наши внешние эксперты-криминалисты исследуют создание кованых печенье, которые могут позволить злоумышленнику получить доступ к учетной записи без пароля. Основываясь на проведенном исследовании, мы считаем, что несанкционированный доступ третьих лиц Проприетарный код компании узнаете, как выковать определенные cookies. Внешние эксперты-криминалисты выявили около 32 миллионов аккаунтов пользователей, по которым они считают, кованые печеньки были использованы или приняты в 2015 и 2016 годах (далее — «печенье ковка деятельности»). Мы считаем, что часть этой деятельности связана с той же государственной поддержке актера считается, что ответственность за инцидент безопасности 2014. Кованые печенье были аннулированы компанией, поэтому они не могут быть использованы для доступа к учетным записям пользователей.

Инцидент безопасности 2013, инцидент безопасности 2014, и ковка куки, именуемые в настоящем документе как «инциденты». В отношении каждого из инцидентов безопасности, затронутых пользователей и соответствующих контролирующих и правоохранительных органов были уведомлены.

Компании, с привлечением внешних экспертов-криминалистов, завершила свое расследование инцидентов безопасности. Компания продолжает работать с американскими правоохранительными органами по этим вопросам.

Независимый Следственный Комитет

Как сообщалось ранее, независимый комитет («независимый комитет») Совета директоров («Совет») провела расследование инцидентов безопасности и смежных областях, включая сферу знаний внутри компании в 2014 году доступ к Yahoo в сети спонсируемых государством участником, ответственным за кражи и инцидентов, внутренних и внешних процессов отчетности и исправления усилий, связанных с 2014 безопасности происшествий и инцидентов. Независимый Комитет завершил свое расследование, хотя он продолжит рассмотрение событий, связанных с инцидентами в области безопасности и доклад Совета по этим вопросам и сотрудничество с различными государственными структурами. Независимый Комитет оказывал помощь независимого адвоката», ТОО » Сидли Остин, и судебно-медицинский эксперт. Комиссия отдельно посоветовал других внешних консультантов в связи с инцидентами безопасности и рекомендации в отношении мер по исправлению положения.

На основе своего расследования Независимая комиссия пришла к выводу, что служба информационной безопасности компании существующие знания о компрометации учетных записей пользователей 2014, а также инциденты с той же злоумышленник с участием ковка печенья в 2015 и 2016 годах. В конце 2014 года, руководителей и соответствующих правовых персонал был в курсе, что государственная актера получили доступ к определенным учетным записям пользователей по эксплуатации средств управления счетами компании. Компания приняла определенные меры по исправлению положения, с уведомлением 26 конкретно целевых пользователей и консультации с правоохранительными органами. Хотя были существенные дополнительные меры безопасности, реализованные в ответ на эти инциденты, похоже, некоторые руководители не правильно понять или исследовать, и поэтому не в состоянии действовать достаточно при, в полной мере, известную внутри группы информационной безопасности компании. В частности, по состоянию на декабрь 2014 года Информационная безопасность команда поняли, что злоумышленник ускользнул копий пользовательских данных резервного копирования файлов, содержащих персональные данные пользователей Yahoo, но неясно, является ли и в какой мере подобные свидетельства эксфильтрации эффективно передается и понимается за пределами информационной безопасности команды. Однако независимый комитет не заключали, что там было умышленное подавление соответствующей информации.

Тем не менее, Комитет пришел к выводу, что соответствующим правовым команда имела достаточно информации, чтобы оправдать значительные дальнейшего расследования в 2014 году, и они не достаточно проводить его. В результате инцидента безопасности 2014 не были должным образом исследованы и проанализированы в момент, и компания не была надлежащим образом извещена, в отношении юридических и бизнес-риски, связанные с инцидентом безопасности 2014. Независимая комиссия установила, что сбои в коммуникации, управление, запрос и внутренней отчетности способствовало отсутствие должного понимания и обработки инцидента безопасности 2014. Независимая комиссия также установила, что Комитет по аудиту и финансам и полный пансион не был надлежащим образом информирован о полной серьезности, рисков и возможных последствий инцидента безопасности 2014 и связанные с этим вопросы.

Веризон владеет родитель сайте Engadget, компания, Клятва (ранее АОЛ). Будьте уверены, Веризон не имеет никакого контроля над освещением. На сайте Engadget по-прежнему независимы.

Источник

Оставьте комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *