Tras los informes de que Yahoo confirmará una violación de datos que afecta a cientos de millones de cuentas, algunos usuarios informaron el jueves en Twitter y en otros lugares que se les solicitó cambiar su contraseña de correo electrónico al intentar iniciar sesión.
Yahoo lanzó una investigación sobre una posible violación a principios de agosto después de que alguien ofreció vender un volcado de datos de más de 200 millones de cuentas de Yahoo en un mercado subterráneo, incluidos nombres de usuario, hashes de contraseñas fáciles de descifrar, fechas de nacimiento y direcciones de correo electrónico de respaldo.
Desde entonces, la compañía ha determinado que la violación es real y que es aún peor de lo que inicialmente se creía, informó el jueves el sitio web de noticias Recode, citando fuentes no identificadas que están familiarizadas con la investigación..
Si bien Yahoo aún no ha hecho un anuncio y no respondió de inmediato a una solicitud de comentarios, la compañía ha pedido a algunos usuarios que restablezcan sus contraseñas en las últimas 24 horas debido a "actividad sospechosa" en sus cuentas.
La solicitud para restablecer las contraseñas puede no estar directamente vinculada a la violación de datos informada. Pero una confirmación de la violación ahora, más de un mes y medio después de que los datos se pusieron a la venta, probablemente generará preguntas sobre por qué la compañía esperó tanto tiempo antes de obligar a los usuarios a cambiar sus contraseñas..
MÁS SOBRE EL MUNDO DE LA RED: 6 trucos simples para proteger tus contraseñas"Si realmente estaba disponible entonces y Yahoo solo lo está confirmando ahora, estaría realmente interesado en saber por qué el retraso fue tan largo", dijo Troy Hunt, un investigador de seguridad que administra el sitio web de notificación de violación de datos He sido pwned?.
El usuario que anunció los datos de la cuenta de Yahoo en un sitio web clandestino utiliza el identificador en línea peace_of_mind y es un conocido vendedor de información robada. Anteriormente puso a la venta millones de registros de cuentas de MySpace, LinkedIn, Tumblr y otros sitios web y, en su mayor parte, esas violaciones se han confirmado a pesar de que realmente ocurrieron años antes.
"Vimos que LinkedIn, MySpace y tumblr [volcados de datos] datan de muchos años, pero ahora aparecen a la venta, por lo que Yahoo puede ser coherente con eso", dijo Hunt por correo electrónico..
Dado el historial de Peace, el investigador dijo que no le sorprendería que los datos se pusieran a la venta el mes pasado si demostraran ser auténticos, aunque algunas personas cuestionaron si Peace realmente tenía la información en ese momento.
Es extraño que nadie haya logrado obtener una copia del conjunto de datos hasta ahora y haya confirmado su autenticidad, al menos no públicamente, especialmente porque se sabe que Peace baja su precio con el tiempo. Hunt cree que si este volcado de datos sigue el mismo patrón que otros recientes, pronto aparecerá en el dominio público y podrá agregarlo a He sido pwned.
La confirmación de la violación de datos esta semana se produciría cuando se finalice la venta de Yahoo de 4.800 millones de dólares de sus operaciones centrales de Internet a Verizon; el acuerdo aún no ha sido aprobado por los reguladores.
Únase a las comunidades de Network World en Facebook y LinkedIn para comentar temas que son lo más importante.
