Se 2016 foi difícil para você, para o Yahoo não foi melhor. O ano marcou o momento em que a empresa perdeu quase 100% de seu valor de mercado e foi vendida para a Verizon por US$ 4,8 bilhões. Fora isso, ela descobriu que dados de 500 milhões de seus usuários tinham sido roubados. E agora, a situação ficou ainda pior.
A empresa de segurança InfoArmor afirmou ao New York Times que toda a base de dados dos mais de 1 bilhão de usuários do Yahoo foi vendida na Deep Web por US$ 300 mil. Os dados vazados incluíam nomes completos, datas de nascimento, endereços, números de telefone e senhas das pessoas que tinham contas na empresa.
Hackeando governos
Fora isso, os dados continham também as perguntas de segurança e os e-mails secundários dos usuários. De acordo com Andrew Komarov, o diretor de inteligência da InfoArmor, esses dados são ainda mais valiosos para os hackers. Isso porque eles muitas vezes permitem a invasão de contas em outros serviços pertencentes ao mesmo usuário. Por esse meio, hackers conseguiriam invadir sistemas de governos, usando como plataforma a conta do Yahoo de um servidor público.
Não se trata de uma ameaça pequena. Segundo a Bloomberg, os dados vendidos incluíam informações de contas de mais de 150 mil funcionários do governo e do exército estadunidense. Essas pessoas deram seu e-mail associado ao governo dos EUA para ser usado caso perdessem suas contas no Yahoo. Por esse motivo, caso eles usem a mesma senha para os dois serviços, um hacker poderia rapidamente acessar sistemas com informações confidenciais do governo dos Estados Unidos.
Hackeando pessoas
Outra possível motivação seria, obviamente, o acesso aos dados de usuários comuns para roubo de informações pessoais e tentativas de phishing. Como internautas frequentemente usam a mesma senha para diversos serviços, os hackers podem usar essa informação para “sequestrar” suas contas digitais – e exigir um resgate.
Também há a possibilidade de que eles acessem o e-mail dos usuários hackeados para tentar realizar tentativas de phishing mais adequadas. Caso os dados de cartão de crédito do usuário não estejam disponíveis em qualquer lugar no e-mail do usuário, os hackers podem usar o e-mail para tentar convencer os contatos dele a enviar-lhes seus dados de cartão. Tratando-se de uma pessoa conhecida, a probabilidade de que os dados sejam enviados é maior.
De acordo com Komarov, os dados foram comprados separadamente por três entidades diferentes, cada uma das quais pagou US$ 300 mil. Após descobrir a negociação, a InfoArmor abordou o Yahoo por meio de um intermediário, mas o Yahoo teria desconsiderado o aviso da empresa.
Golpe nos negócios
Embora o vazamento tenha sido anunciado na última quarta-feira, 14, a informação sobre a venda (e o valor) das informações foi feita apenas ontem pela InfoArmor. A confirmação do vazamento pode fazer com que a Verizon desista da compra da empresa, mas o processo é complicado. Ainda segundo o New York Times, desistir de uma compra desse tamanho tem implicações jurídicas que muitas vezes representam um obstáculo ainda maior.
Por outro lado, a Verizon tem medo de que a divulgação do vazamento dos dados acabe provocando uma “debandada” de usuários do Yahoo. Isso seria um problema particularmente grave, já que a base de usuários do Yahoo é um dos principais fatores motivando a Verizon a comprar a empresa. Além disso, desde o anúncio do vazamento, as ações do Yahoo despencaram 6%.
Outros crimes
Komarov acredita que o mesmo grupo que hackeou o Yahoo foi responsável também por ataques a outros serviços, como Dropbox, LinkedIn, MySpace e Tumblr. O grupo não usa os dados diretamente, mas vende-os a outros hackers ou grupos de hackers para que eles tentem usar esses dados em seus próprios crimes digitais.
Com a divulgação do vazamento, o Yahoo pediu a todos os usuários que alterassem suas senhas. Isso deve ajudar a manter a segurança de boa parte das contas. No entanto, os dados continuam sendo vendidos na Deep Web, segundo a InfoArmor. O valor, contudo, caiu para “apenas” US$ 20 mil por todos os usuários do Yahoo devido à medida de segurança.