Em agosto, descobriu-se que um hacker estava vendendo 200 milhões de contas do Yahoo na dark web. Acontece que o vazamento foi muito maior do que isso.

Os 7 grandes erros da história do Yahoo
Verizon compra ex-gigante Yahoo por US$ 4,8 bilhões



O Yahoo divulgou um comunicado afirmando que os servidores da empresa foram invadidos em um ataque patrocinado por governos – no total, 500 milhões de usuários foram afetados.

O comunicado diz:

Uma investigação recente da Yahoo! Inc. confirmou que uma cópia de determinadas informações de conta de usuário foi roubada da rede da empresa no final de 2014, pelo que acreditamos ser um agente patrocinado por governo.

As informações da conta podem ter incluído nomes, endereços de e-mail, números de telefone, datas de nascimento, senhas protegidas com hash (a grande maioria com bcrypt) e, em alguns casos, perguntas e respostas de segurança criptografadas ou não.

A empresa diz que o vazamento não inclui dados bancários e nem “senhas desprotegidas”, isto é, armazenadas em texto puro ou sem usar o método hash (que dificulta descobri-las através de um ataque por força bruta).

Ainda assim, se você tem uma conta do Yahoo, é definitivamente um bom momento para alterar sua senha e atualizar suas perguntas de segurança. Se você estiver usando os mesmos lembretes de senha do Yahoo – ou pior, a mesma senha – em outros sites, vá logo alterá-la nesses serviços também.

A escala desse vazamento é surpreendente, tornando-o um dos maiores ataques patrocinados por governo publicamente conhecidos. “O Yahoo e outras empresas lançaram programas para detectar e notificar os usuários quando uma empresa suspeita fortemente que um agente patrocinado pelo Estado tem uma conta como alvo”, diz a companhia.

Como nota o Recode, essa invasão pode ter implicações na venda do Yahoo para a operadora americana Verizon. O negócio foi fechado em US$ 4,8 bilhões, mas o valor talvez possa ser reduzido: “o tamanho da responsabilidade legal poderia ser grande e trazer incontáveis dores de cabeça para os novos donos. Acionistas devem se preocupar que isso poderia levar a um ajuste no preço da transação”.

Vale lembrar que credenciais do Tumblr – que pertence ao Yahoo – vazaram em maio: foi “um conjunto de endereços de e-mail e senhas protegidas por hash-salt do início de 2013”. A rede social resetou a senha dos usuários afetados.

[Yahoo e Recode]