Las últimas brechas de seguridad de Yahoo siguen dando que hablar varios meses después de que salieran a la luz pública.
En este sentido, el FBI ha culpado del robo a los servicios de inteligencia rusos y ha descubierto qué métodos y prácticas utilizaron para comprometer más de 500 millones de cuentas de usuario.
Además, se han desvelado los métodos y prácticas que llevaron a estos hackers a conseguir tal cantidad de datos del gigante de Silicon Valley.
La trama comenzó a principios de 2014 cuando un empleado recibió un correo electrónico de phising. No está claro cuantos más recibieron el email, pero con un solo click bastaba; y sucedió. Una vez dentro, uno de los atacantes, identificado como Aleksey Belan, y de origen letón, consiguió dos grandes premios: la base de datos de usuarios y la herramienta de gestión de cuentas.
Para no perder el acceso, instaló una puerta trasera en un servidor y robó una copia de seguridad de datos de clientes para transferirlos a su propio ordenador. Ésta contenía nombres, números de teléfono, preguntas y respuestas de desbloqueo de contraseñas y valores criptográficos para cada cuenta. Estos dos últimos elementos fueron los que habrían valido al grupo para acceder a la información requerida por agentes rusos sobre la privacidad de ciertos usuarios.
La herramienta de administración de cuentas no permitía búsquedas sencillas de nombres de usuario, por lo que los atacantes recurrieron a las direcciones de correo electrónico de recuperación. Una vez identificados a estos usuarios, pudieron usar valores criptográficos llamados “nonces” para generar cookies de acceso a través de un script que se había instalado en un servidor de Yahoo. Esas cookies, que se generaron muchas veces a lo largo de 2015 y 2016, permitieron a los hackers acceso gratuito a una cuenta de correo electrónico de usuario sin necesidad de introducir contraseñas.
Durante este proceso, los atacantes fueron muy meticulosos en su enfoque. De las cerca de 500 millones de cuentas solo generaron cookies para 6.500.
Entre los usuarios afectados se encuentran personalidades rusas como un asistente del vicepresidente, un funcionario del Ministerio de Asuntos Internos o un entrenador que trabajaba para la federación de deportes.
CSO COMPUTERWORLD (17/03/2017)
