История утечек данных в Yahoo считается одной из самых показательных в индустрии — не только из-за масштаба, но и из-за того, как компания с ней справлялась (а точнее, не справлялась). В 2013 и 2014 годах Yahoo пережила два крупнейших взлома серверов за всю историю интернета, однако пользователи узнали об этом лишь спустя несколько лет, когда последствия уже стали необратимыми.
Первая атака произошла в августе 2013 года. На тот момент генеральный директор Марисса Майер активно пыталась вернуть компании былую славу, однако вопросы кибербезопасности, как выяснилось позже, не были в приоритете. Хакеры получили доступ ко всем существовавшим на тот момент учетным записям — речь шла примерно о трёх миллиардах аккаунтов. Украденные данные включали имена, адреса электронной почты, номера телефонов, даты рождения, хэшированные пароли, а также контрольные вопросы и ответы, которые использовались для восстановления доступа к аккаунтам. Часть этих данных хранилась в зашифрованном виде, но часть — в устаревших или вовсе незашифрованных форматах, что существенно упростило их дальнейшее использование злоумышленниками.
Через год, в конце 2014-го, произошёл второй взлом, в результате которого была скопирована резервная копия базы данных с аналогичным набором информации более чем 500 миллионов пользователей.
Вторая атака была приписана латвийскому и российскому хакеру Алексею Белану, действовавшему, по данным Министерства юстиции США, под прикрытием агентов ФСБ. Белан же привлек канадского специалиста Карима Баратова (бывшего гражданина Казахстана) для дальнейших взломов. Используя сложные манипуляции с веб-куки, взломщики создали систему, позволявшую им заходить в чужие аккаунты без пароля. Эта «дыра» в безопасности оставалась открытой годами.
Одной из главных причин такого провала стала внутренняя культура компании. В 2013 году, после разоблачений Эдварда Сноудена о частых атаках на Yahoo со стороны хакеров, компания наняла Алекса Стамоса в качестве директора по информационной безопасности. Он предложил радикальные меры по защите персональных данных пользователей. Однако, по свидетельствам очевидцев, Марисса Майер отказала его команде в достаточном финансировании, посчитав, что сложные системы безопасности сделают сервис менее удобным для пользователей. В итоге к 2015 году Стамос покинул компанию, а Yahoo продолжала использовать устаревшие алгоритмы хэширования, такие как MD5 для некоторых паролей, которые легко взламывались методом перебора.
Публичное разоблачение началось лишь в 2016 году, когда данные сотен миллионов пользователей всплыли на продажу в даркнете. Только тогда Yahoo призналась: они знали о взломе 2014 года уже давно, но скрывали это. Последствия оказались разрушительными как для компании, так и для миллионов пользователей. Yahoo столкнулась с волной критики за запоздалую реакцию: задержка в раскрытии информации привела к внутреннему расследованию, в результате которого генеральный юрисконсульт Рональд Белл ушел в отставку, а Майер лишилась бонусов на 12 миллионов долларов. Компания выплатила 117,5 миллиона долларов по коллективным искам от около 200 миллионов пострадавших, плюс 35 миллионов долларов штрафа от Комиссии по ценным бумагам и биржам США за несвоевременное информирование инвесторов. Сделка по продаже активов Yahoo компании Verizon Communications, изначально оцененная в 4,83 миллиарда долларов, была снижена на 350 миллионов из-за скандала, и завершилась в 2017 году уже по цене 4,48 миллиарда.
Для пользователей же последствия оказались куда серьёзнее, чем просто необходимость сменить пароль. Контрольные вопросы и доступ к почте позволяли хакерам восстанавливать доступ к другим сервисам — от соцсетей до банковских аккаунтов. Утечки открыли дверь для фишинга, кражи идентичности, спама, а также для точечных атак: взламывались конкретные почтовые ящики, искались коды подарочных сертификатов, изучалась личная переписка, а в отдельных случаях происходило проникновение в аккаунты на сторонних платформах, включая Gmail. Для многих это обернулось потерей доступа к личным данным и деньгам. Правительства других стран, включая европейские регуляторы и Федеральное управление информационной безопасности Германии, осудили Yahoo за слабый надзор за обработкой данных, хотя штрафы в ЕС не последовали.
В ответ на кризис Yahoo предприняла ряд мер, чтобы стабилизировать ситуацию. Компания аннулировала незашифрованные контрольные вопросы, принудила пользователей сменить пароли и ввела более строгие протоколы аутентификации. Были наняты внешние эксперты для аудита систем, и Yahoo заявила об отсутствии доказательств продолжающегося присутствия хакеров в сети. В юридическом плане компания сотрудничала с ФБР, что привело к обвинениям против четырех лиц, включая агентов ФСБ Дмитрия Докучаева и Игоря Cущина, а также Белана и Баратова. Последний был экстрадирован в США, признал вину и получил пять лет тюрьмы плюс штраф в 2,25 миллиона долларов. Yahoo также предложила пострадавшим бесплатный кредитный мониторинг на два года в рамках урегулирования исков. Однако эти шаги были скорее реактивными, чем превентивными: компания не смогла вовремя внедрить должные меры безопасности, и ее репутация пострадала необратимо.
Подписывайтесь на наши каналы в соцсетях. В следующих статьях расскажем, какие еще IT-гиганты пострадали от атак хакеров, а также, что такое Big Data и зачем государства, компании и социальные сети собирают наши данные, как они анализируются и используются.