درز اطلاعاتی یاهو

رخنه و هک اواخر سال ۲۰۱۴ میلادی است که اطلاعات مربوط به حداقل ۵۰۰ میلیون حساب کاربری شرکت یاهو را هدف قرار داد. این اطلاعات ۲ سال بعد در ۲۲ سپتامبر ۲۰۱۶ افشا شد. این درز اطلاعاتی احتمالاً بزرگ‌ترین از نوع خود در تاریخ عصر اینترنت به حساب می‌آید.^[۱] اطلاعات سرقت‌شده شامل نام افراد، آدرس‌های ایمیل، شماره‌های تلفن، تاریخ تولد، و گذرواژه‌های رمزگذاری‌شده‌است.

رویداد

یاهو در بیانیهٔ اطلاعاتی‌اش این اقدام را حمایت‌شده توسط یک دولت خواند اما به نام هیچ کشوری اشاره نکرد. باور بر این است که اطلاعات افشا شده شامل اطلاعات شخصی حساب‌های کاربری می‌شود از جمله اسامی، آدرس‌های ایمیل، شماره‌های تلفن، تاریخ‌های تولد، گذرواژه‌های درهم‌ساخته (اکثریت از نوع bcrypt) و در در برخی موارد، سؤال‌ها و جواب‌های امنیتی کدگذاری‌شده یا نشده. همچنین در بیانیه ادعا شده‌است که هکر دیگر در سامانهٔ یاهو نیست و شرکت با مجریان قانون کاملاً همکاری و تعامل می‌کند. به کاربران توصیه شده‌است که به فعالیت‌های غیرعادی در حساب‌هایشان، از جملهٔ ایمیل‌های مشکوک، حساس باشند. متخصصان امنیت هشدار داده‌اند که عواقب این درز اطلاعاتی می‌تواند گسترده باشد و محرمانگی افراد را نقض کند. آن‌ها به اطلاعات بانکی و مالی، اطلاعات شخصی دربارهٔ دوستان و خانواده و نیز سایر وجوهی که می‌توان از حساب‌های کاربری دست یافت اشاره کرده‌اند.

معلوم نیست که شرکت یاهو تا چه مدت از این درز اطلاعاتی بی‌خبر بوده‌است. یاهو تقریباً دو ماه بعد از آنکه گفت دربارهٔ ادعای سرقت اطلاعات تحقیق می‌کند، این اقدام را رسماً در ۲۲ سپتامبر ۲۰۱۶ تأیید کرد. ادعای درز اطلاعاتی زمانی شایع شد که هکری که پیشتر اطلاعات لینکدین و مای‌اسپیس را فروخته بود، پیشنهاد فروش جزئیات مربوط به ۲۰۰ میلیون حساب کاربری یاهو را در یک بازار سیاه اینترنتی، موسوم به TheRealDeal، ارائه داد. سخنگوی ورایزون اعلام کرد که ورایزون تنها در همین دو روز گذشته از این خبر مطلع شده‌است (تاریخ نگارش: ۲۳ سپتامبر ۲۰۱۶). گفته می‌شود ورایزون در ژوئیهٔ ۲۰۱۶ موافقت کرده بود که با پرداخت ۴٫۸۳ میلیارد دلار دارایی‌های اصلی یاهو را بخرد.

پاسخ‌های حقوقی و تجاری

تأخیر یاهو در کشف و گزارش این نقض‌ها و همچنین اجرای ویژگی‌های امنیتی بهبود یافته، مورد انتقاد قرار گرفته‌است. یاهو به دلیل داشتن نگرشی به ظاهر سست نسبت به امنیت، وظیفه خود را برعهده گرفته‌است: طبق گزارش‌ها، این شرکت ویژگی‌های امنیتی جدید را به سرعت سایر شرکتهای اینترنتی و بعد از یاهو پیاده نمی‌کند. در سال ۲۰۱۳ توسط ادوارد اسنودن به عنوان یک هدف مکرر برای هکرهای تحت حمایت دولت شناسایی شد، این شرکت یک سال کامل طول کشید تا قبل از استخدام یک مدیر ارشد امنیت اطلاعات، الکس استاموس. در حالی که استخدام Stamos توسط کارشناسان فناوری به عنوان تعهد یاهو در قبال امنیت بهتر نشان داده شد، یاهو ستایش شد. گزارش شده‌است که مدیر عامل شرکت ماریسا مایر استاموس و تیم امنیتی وی بودجه کافی برای اجرای اقدامات امنیتی توصیه شده را رد کرده بود و او تا سال ۲۰۱۵ شرکت را ترک کرد. کارشناسان اظهار داشتند که یاهو، فقط تا آخرین مورد نقض، کاربران را مجبور به تغییر نکرده‌است رمزهای عبور آنها، حرکتی که مایر و تیمش معتقد بودند کاربران را از سرویس دور می‌کند. برخی از کارشناسان اظهار داشتند که اجرای اقدامات امنیتی شدیدتر باعث صرف منابع پولی می‌شود و وضعیت مالی یاهو به این شرکت اجازه سرمایه‌گذاری در زمینه امنیت سایبری را نداده‌است.^[۲]

در بررسی داخلی یاهو از اوضاع متوجه شدیم که مایر و دیگر مدیران کلیدی از این دخالت‌ها آگاه بوده‌اند اما در اطلاع شرکت یا گام برداشتن در جهت جلوگیری از تخلفات بعدی موفق نبوده‌اند. این بررسی منجر به استعفای وکیل اصلی شرکت، رونالد اس. بل، تا مارس ۲۰۱۷ شد و پاداش جبران حقوق صاحبان سهام مایر برای ۲۰۱۶ و ۲۰۱۷ لغو شد.^[۳]

منابع

↑ "Yahoo! Inc, Form 8-K, Current Report, Filing Date Sep 22, 2016". secdatabase.com. Archived from the original on April 29, 2018. Retrieved April 28, 2018."Yahoo Says Hackers Stole Data on 500 Million Users in 2014". New York Times. September 22, 2016. Archived from the original on September 22, 2016. Retrieved September 22, 2016.
↑ "Why Yahoo's Security Problems Are a Story of Too Little, Too Late". Reuters. December 19, 2016. Retrieved December 19, 2016.
↑ Goel, Vindu (March 1, 2017). "Yahoo's Top Lawyer Resigns and C.E.O. Marissa Mayer Loses Bonus in Wake of Hack". The New York Times. Retrieved March 15, 2017.

Wikipedia contributors, "Yahoo! data breach," Wikipedia, The Free Encyclopedia, https://en.wikipedia.org/w/index.php?title=Yahoo!_data_breach&oldid=741075740 (accessed September 25, 2016).

[1] "Yahoo! Inc, Form 8-K, Current Report, Filing Date Sep 22, 2016". secdatabase.com. Archived from the original on April 29, 2018. Retrieved April 28, 2018."Yahoo Says Hackers Stole Data on 500 Million Users in 2014". New York Times. September 22, 2016. Archived from the original on September 22, 2016. Retrieved September 22, 2016.

[reuters_dec192016-2] "Why Yahoo's Security Problems Are a Story of Too Little, Too Late". Reuters. December 19, 2016. Retrieved December 19, 2016.

[3] Goel, Vindu (March 1, 2017). "Yahoo's Top Lawyer Resigns and C.E.O. Marissa Mayer Loses Bonus in Wake of Hack". The New York Times. Retrieved March 15, 2017.

[۱]

[۲]

[۳]