Yahoo supostamente para confirmar violação de dados maciça

Após relatos de que o Yahoo confirmará uma violação de dados que afeta centenas de milhões de contas, alguns usuários relataram quinta-feira no Twitter e em outros lugares que foram solicitados a alterar sua senha de email ao tentar efetuar login.

O Yahoo lançou uma investigação sobre uma possível violação no início de agosto, depois que alguém se ofereceu para vender um despejo de dados de mais de 200 milhões de contas do Yahoo em um mercado underground, incluindo nomes de usuário, hashes de senha fáceis de quebrar, datas de nascimento e endereços de email de backup.

Desde então, a empresa determinou que a violação é real e que é ainda pior do que se acreditava inicialmente, informou o site de notícias Recode na quinta-feira, citando fontes não identificadas e familiarizadas com a investigação..

Embora o Yahoo ainda não tenha feito um anúncio e não tenha respondido imediatamente a uma solicitação de comentário, a empresa solicitou que alguns usuários redefinissem suas senhas nas últimas 24 horas devido a "atividades suspeitas" em suas contas.

O prompt para redefinir senhas pode não estar diretamente vinculado à violação de dados relatada. Mas uma confirmação da violação agora, mais de um mês e meio depois que os dados foram colocados à venda, provavelmente fará perguntas sobre por que a empresa esperou tanto tempo antes de forçar os usuários a alterar suas senhas.

MAIS SOBRE NETWORK WORLD: 6 truques simples para proteger suas senhas

"Se realmente estava disponível e o Yahoo está apenas confirmando agora, eu estaria realmente interessado em saber por que o atraso foi tão longo", disse Troy Hunt, pesquisador de segurança que administra o site de notificação de violação de dados. Fui sacaneado?.

O usuário que anunciou os dados da conta do Yahoo em um site clandestino usa o identificador online peace_of_mind e é um conhecido vendedor de informações roubadas. Ele já havia colocado à venda milhões de registros de contas do MySpace, LinkedIn, Tumblr e outros sites e, na maioria das vezes, essas violações foram confirmadas, apesar de terem ocorrido anos antes..

"Vimos o LinkedIn, o MySpace e o Tumblr [data dumps] todos datados de muitos anos e ainda aparecendo à venda agora, então o Yahoo pode ser consistente com isso", disse Hunt por e-mail.

Dado o histórico da Peace, o pesquisador disse que não ficaria surpreso ao saber que os dados foram colocados à venda no mês passado se fossem autênticos, apesar de algumas pessoas questionarem se a Peace realmente tinha as informações naquele momento..

É estranho que ninguém tenha conseguido obter uma cópia do conjunto de dados até o momento e tenha confirmado sua autenticidade, pelo menos não publicamente, principalmente porque se sabe que Peace diminui seu preço ao longo do tempo. Hunt acredita que, se esse despejo de dados seguir o mesmo padrão de outros recentes, ele aparecerá em domínio público em breve e poderá adicioná-lo ao Fui sacaneado.

Uma confirmação da violação de dados esta semana aconteceria quando a venda de US $ 4,8 bilhões do Yahoo por suas operações principais de internet à Verizon estivesse sendo finalizada; o acordo ainda não foi aprovado pelos reguladores.

Participe das comunidades do Network World no Facebook e LinkedIn para comentar sobre os tópicos mais importantes.