Yahoo предупреждает пользователей о хакерах, фальсифицирующих куки для доступа к аккаунтам

yahooOffice

Yahoo предупреждает пользователей о хакерах, действующих под эгидой Соединенных Штатов, которые способны получить доступ к их аккаунтам. Взломщики используют фальсификацию куки-файлов, что не требует знания пароля пользователя.

Данное предупреждение не является первым. В прошлом году произошли похожие атаки, которые привели к серьёзным утечкам данных.

Что такое фальшивые куки-файлы?

Фальшивые куки идентичны с теми, что находятся в браузере. Однако фальшивые куки создаются в целях взлома. Недоброжелатели заставляют браузер обрабатывать их, словно это оригинальные куки-файлы. Идея взлома заключается в механизме аутентификации. Механизм, называемый HMAC, шифрует введенные пользователем данные (логин, пароль) и сравнивает его со HMAC в куки. Если значения совпадают — происходит аутентификация. Механизм рассчитан на то, что значения нельзя расшифровать, но хакерам это удается благодаря перехвату данных.

И что произошло?

Yahoo комментирует данную ситуацию следующим образом:

Наши судебные эксперты расследуют сущность фальсифицированных куки-файлов, которые могут открыть недоброжелателю доступ к аккаунтам пользователей без пароля. Судя по полученным данным, метод фальсификации куки-файлов был использован в период с 2015 по 2016 годы для доступа к аккаунтам. Мы оповестим всех пострадавших о взломе.

Неизвестно, сколько пользователей было атаковано, но можно предположить, что атаки, которые спонсируются государством, нацелены на небольшое количество людей.

В сентябре компания рассказала о краже 500 миллионов учётных записей, которая являлась самой масштабной в истории. Однако в декабре она сообщила о краже миллиарда записей.

Хочется упомянуть компанию Verizon, которая собирается приобрести веб-гиганта Yahoo. Телекоммуникационная компания Verizon снизила сумму сделки на $250 миллионов после новостей о произошедших взломах. Для сравнения, кибератака на сеть супермаркетов Target, которая раскрыла информацию о 40 миллионах кредиток, обошлась компании в $162 миллиона. Кроме того, страховая компания возвратила Target $46 миллионов.

Источник: ZDNet