El organismo descubrió qué métodos y prácticas utilizaron para comprometer más de 500 millones de cuentas de usuario.
PC World en Español
Las brechas de seguridad de Yahoo siguen dando de que hablar varios meses después de que salieran a la luz pública. Incluso, una vez que la compañía ha sido vendida a Verizon y ha pasado a llamarse Altaba y que la que fuese su CEO durante cinco años, Marissa Mayer, haya decidido abandonar el cargo.
Pero, lo que no se sabía es que detrás de todo esta fuga de datos (la mayor de la historia) están involucradas cuatro personas rusas, según el FBI, dos de las cuales son espías alineados con el servicio de seguridad estatal del país.
Y, además, se han desvelado los métodos y prácticas que llevaron a estos hackers a conseguir tal cantidad de datos de la empresa del gigante de Silicon Valley. Y todo parece apuntar a un click erróneo.
La trama comenzó a principios de 2014, cuando un empleado recibió un correo electrónico de phising. No está claro cuantos más recibieron el email, pero con un solo click bastaba y sucedió. Una vez dentro, uno de los atacantes, identificado como Aleksey Belan, de origen letón, consiguió dos grandes premios: la base de datos de usuarios y la herramienta de gestión de cuentas.
Para no perder el acceso, instaló una puerta trasera en un servidor y robó una copia de seguridad de datos de clientes para transferirlos a su propio computador. Ésta contenía nombres, números de teléfono, preguntas y respuestas de desbloqueo de contraseñas y valores criptográficos para cada cuenta. Estos dos últimos elementos fueron los que habrían valido al grupo para acceder a la información requerida por agentes rusos sobre la privacidad de ciertos usuarios.
La herramienta de administración de cuentas no permitía búsquedas sencillas de nombres de usuario, por lo que los atacantes recurrieron a las direcciones de correo electrónico de recuperación. Una vez identificados a estos usuarios, pudieron usar valores criptográficos llamados “nonces” para generar cookies de acceso a través de un script que se había instalado en un servidor de Yahoo. Esas cookies, que se generaron muchas veces a lo largo de 2015 y 2016, permitieron a los hackers acceso gratuito a una cuenta de correo electrónico de usuario sin necesidad de introducir contraseñas.
Durante este proceso, los atacantes fueron muy meticulosos en su enfoque. De las cerca de 500 millones de cuentas solo generaron cookies para 6.500.
Entre los usuarios afectados se encuentran personalidades rusas como un asistente del vicepresidente, un funcionario del Ministerio de Asuntos Internos o un entrenador que trabajaba para la federación de deportes.