Ki voltak a támadók?

Ez a legizgalmasabb kérdés, és persze ez az, amit nem lehet tudni. A Yahoo viszont határozottan azt állította, hogy nem mezei hekkerek voltak az elkövetők, hanem

Ennél konkrétabb vád egyelőre nem hangzott el, de itt is a szokásos jelöltek merülnek fel: Kína, Oroszország, Észak-Korea jöhet szóba, ha nagy amerikai cég elleni, kifinomult és hosszan tartó, feltehetően államilag támogatott hekkelésről van szó.

Mit loptak el?

Születési dátumokat, telefonszámokat, biztonsági kérdésekre adott válaszokat, emailcímeket és jelszavakat, Utóbbiak titkosítva voltak, ami jelent ugyan némi védelmet, de kérdéses, hogy mennyit. Már csak azért is, mert a hasheléssel titkosított jelszavakról egyelőre nem tudni, hogy sózva voltak-e, vagyis kaptak-e extra védelmi réteget. Ha nem, akkor a – jellemzően a legtöbbek által használt – egyszerűbb jelszavak feltörése túl nagy gondot nem jelenthet, pláne ha valóban állami erőforrások állnak a támadók rendelkezésére. És évek.

Miért csak most derült ez ki?

Maga a hekkelés még 2014-ben történt, a cég állítólag július óta tud róla, de csak most hozták nyilvánosságra. Az utóbbi időkben nyilvánosságra hozott többi nagy támadás is jellemzően évekkel ezelőtti volt, de azokat általában már akkoriban jelentette az adott cég, és csak később derült ki, hogy több felhasználót érintett, mint addig hitték. A Yahoo-ra most sok kritika zúdult, politikusoktól is, amiért ilyen későn szóltak, hogy baj van. A cég neve már augusztusban is felmerült egy nagy adatlopással kapcsolatban, de nem egyértelmű, hogy a két esetnek van-e köze egymáshoz. Akkor azt mondták, vizsgálják, hogy valóban történt-e ilyesmi, de nem tettek semmilyen óvintézkedést, például nem kényszerítették jelszócserére a felhasználókat.

Az amerikai cégeknek elvileg jelenteniük kell, ha ilyen támadás éri őket, de a helyzetet bonyolítja, hogy erre nincs szövetségi törvény, csak különböző államiak. A kormány próbálkozik központi szabályozással, de még nem fogadtak el olyan átfogó rendelkezést erről, mint amilyet az EU-ban az idén tavasszal megszavazott, két év múlva élesedő GDPR tartalmaz.

Mi lesz a Yahoo-val?

A Yahoo lassúsága a támadás nyilvánosságra hozásában azért különösen kényes kérdés, mert az évek óta kínlódó cég épp idén júliusban jelentette be, hogy az online részlegét felvásárolja a Verizon telekomóriás – vagyis nagyjából akkor, amikor a hekkelésről is először tudomást szerezhettek. Felmerül a kérdés, hogy tudták-e már akkor, hogy történelmi méretű adatlopás áldozatai, amikor megállapodtak a Verizonnal. Ha igen, annak komoly jogi vonzatai is lehetnek.

A Verizon mindenesetre nem sokkal tudott többet az ügyről, mint bárki más: csak az utóbbi két napban tudták meg, mi történt, és ők is vizsgálódnak. Az eset akár a felvásárlást is veszélyeztetheti, bár valószínűbb, hogy az üzlet ettől még nem hiúsul meg. Hasonló történt a LinkedInnel is, amely szintén nyáron jelentette, hogy meghekkelték pár éve, mégis irdatlan pénzért megvette a Microsoft.

Miért érdekeljen ez az egész? 

Azon túl, hogy 500 millió felhasználó adatának az ellopása önmagában is súlyos, a Yahoo kifejezetten érzékeny adathegyen ül. A cég mára nagyrészt jelentéktelenségbe süllyedt, de az internet hőskorának vezető emailszolgáltatójáról és úgy általában legfontosabb cégéről van szó, ahol így olyan személyes adatok gyűltek fel az évtizedek alatt, amelyeket nagy valószínűséggel más szolgáltatásoknál is használtak az érintett felhasználók. Vagyis nem ajánlott egy legyintéssel elintézni a dolgot, hogy kit érdekel 2016-ban a Yahoo, akinek valaha bármi köze volt a cég szolgáltatásaihoz, jobb, ha jelszót változtat máshol is, ahol ugyanazt használta.

Már csak azért is, mert ahogy az utóbbi hónapok adatlopási hulláma, pontosabban az évekkel ezelőtti adatlopások mostani felszínre kerülése kapcsán írtuk, a trend azt mutatja, hogy a hekkerek valóban próbálkoznak is azzal, hogy az egyik helyen megszerzett adatokat máshol is felhasználják.