یاهو تایید کرده که در سال ۲۰۱۴، حساب کاربری بیش از ۵۰۰ میلیون کاربر مورد نفوذ قرار گرفته است.
گزارشهای پیرامون نفوذ در یاهو برای اولین بار روز پنجشنبه پس از انتشار پستی از سوی Recode ظاهر شدند که در آن پست اشاره شده بود، یاهو در شرف تایید شایعات پیرامون وجود یک نفوذ بزرگ در این مجموعه است. علاوه بر این، پایگاه Motherboard نیز پیشتر برای نخستین بار شایعاتی را دربارهی نفوذ به یاهو در ماه آگوست منتشر کرده بود. این شایعات در آن زمان در حالی منتشر میشد که یک هفته قبل از آن، کمپانی ارتباطات ورایزن (Verizon) اعلام کرده بود که قصد خرید بخش اصلی تجاری یاهو را دارد.
در آن زمان آشکار شد که یک تبهکار سایبری با نام مستعار "صلح" یا (Peace) در حال فروش بیش از ۲۰۰ میلیون حساب کاربری در فضای غیر قانونی وب به ازای 3 بیت کوین یا تقریبا ۱۸۶۰ دلار بوده است. در حال حاضر مشخص نیست که درز این اخبار چه تاثیری روی درخواست معلق ۴.۸ میلیارد دلاری برای داراییهای یاهو خواهد داشت.
به نظر میرسد که این نفوذ در سال ۲۰۱۴ اتفاق افتاده است و به طور بالقوه کاربران را در معرض نفوذهایی قرار میدهد که یاهو پس از دو سال وقوع آنها را تایید میکند. ممکن است یاهو به خاطر این اتفاق، تصمیم به الزام کاربران برای تنظیم مجدد نام کاربری و کلمهی عبور خودشان بگیرد.
باب لرد (Bob Lord) مسئول ارشد امنیت اطلاعت کمپانی یاهو در بیانیهای اظهار کرده که به باور کمپانی یاهو، این هکر در واقع مهرهای است که از سوی یک دولت حمایت میشود. در بخشهای دیگری از این بیانیه اشاره شده است که اطلاعات حسابهای کاربری ممکن است شامل نامها، آدرسها، شمارهی تلفنها و تاریخهای تولد کاربران و همچنین کلمات عبور آنان بوده باشد.
تحقیقات در حال انجام نشان میدهد که اطلاعات به سرقت رفته، شامل کلمههای عبور محافظت نشده، اطلاعات کارتهای اعتباری، اطلاعات حساب بانکی نبوده است. زیرا دادههای کارت پرداخت و اطلاعات حساب بانکی در کنار اطلاعات از دست رفته ذخیره نمیشوند.
یاهو تا کنون، مراحلی را برای اطلاعرسانی به کاربرانی که به صورت بالقوه تحت تاثیر این سرقت قرار گرفتهاند طی کرده و از آنها خواسته تا اقدام به تغییر کلمهی عبور و سوالهای امنیتی خود کنند. علاوه بر این، کمپانی اعلام کرده است که برای حل و فصل این موضوع در حال همکاری با مراجع قانونی است و تا مرحلهای پیش رفتهاند که سوالهای امنیتی رمزگذارینشده را نیز ابطال کردهاند تا برای دسترسی به هیچ حسابی کارایی نداشته باشند.
از سویی نیز به کاربران توصیه میشود که اقدام به تغییر کلمهی عبور و سوالات امنیتی خود کرده و حسابهای کاربری خود را برای شناسایی فعالیتهای مشکوک بررسی کنند و دربارهی ارتباطاتی که مستلزم اطلاعات شخصی است محتاط بوده و از کلیک کردن روی لینک یا دانلود فایلهای پیوست در ایمیلهای مشکوک خودداری کنند. لرد همچنین نوشته است:
جهانی که در آن ارتباطات به طور فزایندهای شکل میگیرند، تهدیدها نیز در آن به همان میزان افزایش خواهد یافت. صنعت، دولت و کاربران به طور مداوم در تیررس آسیبهای تبهکاران هستند. یاهو از طریق طرحهای استراتژیک تشخیص فعال و واکنش فعال به دسترسیهای غیر مجاز به حسابهای کاربری، همچنان به تلاش برای ایمن ماندن از آسیب این تهدیدات آنلاین و همیشه در حال تکامل، ادامه خواهد داد تا کاربران و پلتفرمهای خود را امن نگهداریم.
یاهو اعلام کرده که هیچ شواهدی مبنی بر اینکه هکر یاد شده، هنوز هم به خدمات داخلی این شرکت داشته باشد، وجود ندارد. آخرین نفوذ مشابهی که برای حسابهای کاربری رخ داده مربوط به چند ماه پیش میشود که در آن بیش از ۴۲۷ میلیون حساب مایاسپیس تحث تاثیر قرار گرفتند. اما به هر سوی، شاید بر پایهی برخی گزارشها این سرقت گسترده از اطلاعات کاربران را شاید بتوان به عنوان بزرگترین نفوذ در تمامی دورانها به شمار آورد.
پایگاه MobileSyrup با چند نفر از کارشناسان امنیتی به بحث در مورد یکپارچگی هویت دیجیتال ما و گامهایی که کاربران باید برای جلوگیری از به سرقت اطلاعات خود طی کنند، پرداخته است. جان پترسون (John Peterson)، قائم مقام و مدیر کل در شرکت امنیت سایبری جهانی کومودو در این باره معتقد است که کاربران میتوانند با حفظ سطح بالایی از امنیت رمز عبور همواره خود را از سرقت اطلاعاتی محفوظ نگه دارند.
آنها باید از رمزهای قوی استفاده کنند که به صورت ترکیبی از حروف بزرگ، حروف کوچک و کاراکترهای ویژه باشد و همچنین باید آنها را طولانیتر از آنچه که معمولا در نظر میگیرند انتخاب کنند. از سویی نیز همهی افراد باید از آنچه که در جریان است آگاه باشند. اگر هر سازمانی که با آن مرتبط هستید از وقوع یک سرقت اطلاعاتی گزارش میدهد، بی وقفه رمز عبور خود را بروزرسانی کنید و در انجام این کار تعلل نکنید.
منبع:زومیت