Los 32 millones de cuentas de Yahoo fueron vulneradas a través de cookies

Yahoo ha afirmado que un tercero no autorizado accedió al código propietario de la compañía para aprender cómo forjar ciertas cookies, lo que dio como resultado el acceso a aproximadamente 32 millones de cuentas de usuario sin necesidad de una contraseña.

“Los expertos forenses externos han identificado aproximadamente 32 millones de cuentas de usuario que fueron vulneradas a través de cookies entre 2015 y 2016“, ha anunciado el gigante tecnológico en su informe anual, presentado ayer ante la Comisión de Valores de EEUU (SEC).

“Creemos que parte de esta actividad está relacionada con el mismo actor patrocinado por el estado que se sospecha que fue responsable del incidente de seguridad de 2014″, han explicado los directivos de Yahoo.

Las cookies falsificadas han sido invalidadas por la compañía para que no se puedan usar para acceder a cuentas de usuario. Hasta la fecha, se han presentado aproximadamente 43 demandas colectivas contra Yahoo en los tribunales federales y estatales de EEUU y en tribunales extranjeros, relacionadas con los incidentes de seguridad.

La compañía comenzó a advertir a algunos clientes a mediados de febrero de que hackers patrocinados por el estado habían accedido a sus cuentas usando un sofisticado ataque vía cookies.

Yahoo reveló los detalles de su primer hacking en septiembre del año pasado, apuntando hacia un actor patrocinado por el estado casi dos años después de que la violación supuestamente tuvo lugar.

Aproximadamente 500 millones de cuentas de usuario se vieron afectadas por lo que fue la mayor brecha de datos conocida en la historia. Yahoo dijo en ese momento que mientras aunque se  robaron las contraseñas y otos datos, la información bancaria y de pagos seguía segura.

Un segundo incumplimiento se reveló en diciembre, con más de 1.000 millones de cuentas que se cree que fueron robadas en agosto de 2013, un año antes del ataque anteriormente divulgado.