Ao longo do dia surgiram notícias que davam conta da iminência da Yahoo admitir publicamente um roubo massivo de dados dos seus utilizadores e agora chegou a confirmação oficial: no final de 2014 a tecnológica foi alvo de um ataque informático que garantiu acesso aos dados de mais de 500 milhões de contas.
No comunicado emitido pela empresa destaque para o facto de a Yahoo adiantar desde já que as investigações feitas levam a crer que foi um ato levado a cabo por um “ator apoiado por um Estado”.
Entre as informações roubadas estão nomes, endereços de email, números de telefone, datas de nascimento, passwords cifradas e, em alguns casos admite a empresa, questões de segurança e respetivas respostas.
A Yahoo aconselha todos os seus utilizadores a mudarem a palavra-passe das suas contas o quanto antes, sobretudo se já não o fazem desde o final de 2014. É ainda aconselhado que seja feito um reforço de segurança nos serviços onde os utilizadores usavam a mesma password.
Para reforçar as medidas preventivas todas as passwords roubadas e respostas a questões secretas foram desativadas por defeito.
Entre as informações roubadas não constam, por exemplo, dados bancários ou passwords desprotegidas dos utilizadores. A Yahoo diz ainda que não há qualquer sinal de que os atacantes continuem a ter presença nas redes da empresa.
Além da gravidade da situação per si – este passa a ser oficialmente um dos maiores ataques informáticos da história -, existem outros elementos que merecem consideração.
O primeiro é o facto de a Yahoo estar neste momento num processo de venda com a Verizon. De acordo com o Engadget, os executivos da Verizon apenas foram notificados do roubo há dois dias. Ainda não é certo se este ataque pode colocar de alguma forma o negócio em risco, mas um repórter da BBC que já conseguiu um contacto da Verizon diz que a empresa está neste momento a “avaliar os seus interesses”.
Verizon says it's now "evaluating its interests" with regards to Yahoo.
— Dave Lee (@DaveLeeFT) September 22, 2016
Depois existe uma conclusão-alegação grave na declaração da Yahoo. A empresa refere que o ataque foi patrocinado por um Estado. A tecnológica não revelou quais as provas que a levaram a esta conclusão nem faz qualquer alusão sobre o país que pode estar por trás deste ataque.
Por fim há a questão da responsabilidade e da capacidade de resposta aos ataques informáticos. Em apenas algumas semanas este é o terceiro grande caso de hacking que decorreu há mais de um ano, mas cujas verdadeiras consequências só agora estão a ser conhecidas. Dropbox e LinkedIn foram os outros dois casos revelados recentemente.
O primeiro relato de que dados de utilizadores da Yahoo estariam a ser vendidos no ‘submundo’ da internet surgiram em agosto, por via da publicação Motherboard. Na altura a reportagem dava conta de um indivíduo chamado Peace que estava a vender 200 milhões de dados de utilizadores por um valor inferior a 1.800 euros.