Por si no había tenido suficiente con los más de 500 millones de cuentas comprometidas en un ataque reconocido en septiembre de 2016, Yahoo acaba de reconocer que de nuevo les han mangado los datos de más de mil millones de cuentas en lo que parece ser otro ataque distinto.

Según cuentan en Important Security Information for Yahoo Users se dieron cuenta de esto cuando en noviembre de 2016 llegaron a sus manos datos que se suponía que eran de usuarios suyos y tras analizarlos comprobaron que efectivamente era así. Y que el robo se produjo en agosto de 2013.

Información que puede haber sido robada: nombres, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, contraseñas hasheadas con MD5, y, en algunos casos preguntas y respuestas de seguridad, cifradas o no.

Dicen que la información robada no incluye claves sin cifrar, datos de tarjetas de crédito, o datos de cuentas bancarias… Pero básicamente porque esos datos se almacenan en otro sistema distinto al que fue crackeado.

Parece ser que el método utilizado por los malos fue el de crear cookies falsas tras conseguir el acceso al código supuestamente secreto de Yahoo que las genera, lo que les permitió acceder a los datos de los usuarios afectados sin necesidad de su clave.

Yahoo está avisando a los usuarios afectados, y les va a obligar a cambiar sus claves y preguntas de seguridad; también les sugiere usar la Clave de cuenta de Yahoo. En cuanto al método de ataque, …