Yahoo reconoce el robo de 500 millones de cuentas de su base de datos.

Como 200 millones de cuentas parecían poco, Yahoo ha reconocido que en 2012 fue víctima del mayor robo de credenciales hasta la fecha. ¿La cifra récord? 500 millones de cuentas.

Basados en la información que tenemos, el ataque se habría realizado a fines del 2014. La información adquirida incluye nombres, direcciones de correo electrónico, números telefónicos, fechas de nacimiento, contraseñas hashed (la gran mayoría con bcrypt), y, en algunos casos, preguntas y respuestas de seguridad, tanto cifradas como no. La investigación en curso sugiere que no se robaron contraseñas protegidas; información de tarjetas de crédito u otros datos bancarios no se encontraban en el sistema afectado por nuestra investigación.

Todo esto viene a consecuencia de un suceso ocurrido en agosto de este año, cuando una persona bajo el nombre de Peace – el mismo que puso a la venta las cuentas de MySpace y LinkedIn – anunció la venta de los datos de 200 millones de cuentas de Yahoo vinculadas al supuesto ataque. Entre los datos sustraídos están los nombres de usuario, las direcciones de e-mail, datos personales como la fecha de nacimiento y las contraseñas sin cifrar.

Ahora, en medio del proceso de compra de la compañía por parte de Verizon, han reconocido oficialmente este robo. Asegurando además, que la brecha fue causada por una persona que se encontraba bajo la financiación de un Estado:

Una investigación reciente de Yahoo! Inc. ha confirmado que una copia con cierta información de cuentas de usuario fue robada de la red de la empresa a finales de 2014 por lo que creemos que era un agente patrocinado por un Estado. La información de la cuenta puede incluir nombres, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, contraseñas hasheadas (la gran mayoría con bcrypt) y, en algunos casos, preguntas y respuestas de seguridad cifradas o sin cifrar.

Por ello, Yahoo está pidiendo a los usuarios que cambien sus contraseñas e invalidando las preguntas y respuestas para el cambio de las mismas.

Algo tarde si tenemos en cuenta que la brecha de seguridad se produjo en 2014.

Si eres usuario de la compañía tienes que cambiar tu contraseña cuanto antes. Como siempre que sucede algo de este estilo, cambia también la contraseña en aquellos servicios en los que usases la misma.