Yahoo za vdor vedel že pred dvema letoma

Hekerski vdor v Yahoo izpred dveh let, ki so ga v podjetju odkrili letos in zaradi katerega grozi, da bo Verizonov prevzem padel v vodo, vendarle ni presenetil čisto vseh zaposlenih. Za napad, v katerem so hekerji odnesli osebne podatke vsaj 500 milijonov uporabnikov, so nekateri zaposleni vedeli že kmalu po vdoru leta 2014, je Yahoo razkril v poročilu za SEC (ameriško agencijo za trg vrednostnih papirjev). To je v nasprotju s septembrskimi trditvami, da so vdor odkrili šele pri nedavnem pregledu.

V poročilu so namreč zapisali, da so ustanovili posebno neodvisno skupino, ki bo preiskala vdor in obseg védenja o vdoru v podjetju leta 2014. Znanih je tudi nekaj več podrobnosti o vdoru, za katerega zdaj spet obtožujejo državne hekerje iz neimenovane države. Napad naj bi bili izvedli s tehniko cookie forgery, odtekli pa so naslednji podatki: imena, elektronski naslovi, telefonske številke, rojstni datumi, zgoščena gesla (bcrypt) in ponekod varnostna vprašanja z odgovori.

Podatki o škodi, ki jih je vdor povzročil, so še daleč od gotovih. V minulem četrtletju jih je vdor stal milijon dolarjev, bo pa ta smešno nizka številka verjetno v prihodnosti še narasla. Trenutno je proti podjetju vloženih 23 skupinskih tožb zaradi tega incidenta. Razkritje, da so za vdor vedeli že pred dvema letoma, a ga niso razkrili, pa bo imelo resne posledice tako na razplet omenjenih tožb kakor tudi na Verizonov prevzem. V predpogodbi je namreč standardna klavzula, da je podjetje razkrilo vse okoliščine, ki lahko vplivajo na vrednost podjetja. Zamolčan vdor je precej huda kršitev tega določila. Seveda pa je povsem možno, da bo uradna razlaga, da so za vdor vedeli nekateri nižji inženirji, ki niso primerno obvestili nadrejenih. Ali je to tudi res, bomo težko izvedeli.