Por si no había tenido suficiente con los más de 500 millones de cuentas comprometidas en un ataque reconocido en septiembre de 2016, Yahoo acaba de reconocer que de nuevo les han mangado los datos de más de mil millones de cuentas en lo que parece ser otro ataque distinto.
Según cuentan en Important Security Information for Yahoo Users se dieron cuenta de esto cuando en noviembre de 2016 llegaron a sus manos datos que se suponía que eran de usuarios suyos y tras analizarlos comprobaron que efectivamente era así. Y que el robo se produjo en agosto de 2013.
Información que puede haber sido robada: nombres, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, contraseñas hasheadas con MD5, y, en algunos casos preguntas y respuestas de seguridad, cifradas o no.
Dicen que la información robada no incluye claves sin cifrar, datos de tarjetas de crédito, o datos de cuentas bancarias… Pero básicamente porque esos datos se almacenan en otro sistema distinto al que fue crackeado.
Parece ser que el método utilizado por los malos fue el de crear cookies falsas tras conseguir el acceso al código supuestamente secreto de Yahoo que las genera, lo que les permitió acceder a los datos de los usuarios afectados sin necesidad de su clave.
Yahoo está avisando a los usuarios afectados, y les va a obligar a cambiar sus claves y preguntas de seguridad; también les sugiere usar la Clave de cuenta de Yahoo. En cuanto al método de ataque, han revisado el asunto de las cookies para reducir el riesgo de que vuelva a funcionar.
Y de paso recuerda algunas medidas elementales de seguridad que yo diría que hay quetener siempre en mente más allá de Yahoo propiamente dicho y de este ataque en concreto:
- Cambia las claves y preguntas de seguridad en otras cuentas en las que hayas usado las mismas u otras similares a las que tenías en Yahoo (muy mala idea esto de reutilizar claves e información de seguridad, seas usuario de Yahoo o no).
- Echa un ojo a todas tus cuentas por si ves cosas raras.
- Ten mucho cuidado de cualquier tipo de comunicación no solicitada –ya sean correos electrónicos, llamadas, etc– que te pida información personal o que te envíe a una web que lo haga.
- Evita hacer clic en enlaces o descargar archivos adjuntos que vengan en correos electrónicos sospechosos (como por ejemplo de bancos o servicios de los que no eres cliente)
Justo el tipo de noticias que le viene bien a Yahoo ahora.
Relacionado,