A equipa de segurança da empresa sabia da intrusão, mas a organização acabou por não investigar adequadamente a ocorrência, diz uma comissão interna.
Marissa Mayer, CEO da Yahoo
A Yahoo evidenciou negligência ao lidar com um grave incidente de segurança de dados envolvendo 500 milhões de contas de utilizadores, revelado em Setembro de 2016. A organização sabia que ocorrera uma intrusão em 2014, mas falhou na investigação e resposta.
As conclusões de uma comissão interna focada no problema foram reveladas na última quarta-feira, num relatório para a bolsa de valores, em que a empresa culpa um hacker anónimo patrocinado por um Estado.
A violação de segurança só foi pública no ano passado, mas envolveu o roubo de detalhes de contas de utilizadores, como endereços de e-mail, números de telefone e senhas cifradas. A comissão descobriu que a equipa de segurança da Yahoo e executivos seniores sabiam da intrusão ocorrida em 2014.
A empresa tomou algumas medidas correctivas, como notificar 26 utilizadores atingidos e adicionar novos recursos de segurança. Mas vários executivos seniores não conseguiram compreender ou investigar melhor o incidente, segundo o relatório.
Por exemplo, em Dezembro de 2014, a equipa de segurança da Yahoo sabia que o agente patrocinado por um Estado tinha roubado cópias de ficheiros de backup, contendo dados pessoais dos utilizadores. Mas não está claro se essa informação foi “efectivamente comunicada e entendida” fora da equipa de segurança.
A Yahoo está ainda a investigar um incidente no qual um hacker forjou cookies para entrar em 32 milhões de contas.
A intrusão só foi analisada cerca de dois anos depois, quando a Yahoo divulgou publicamente a violação de segurança. Contudo isso aconteceu só depois de uma base de dados roubada à empresa, alegadamente ter surgido à venda no mercado negro.
Depois de a Yahoo revelar a violação, alguns meses mais tarde, a empresa soube de uma ofensiva ainda maior que envolveu mil milhões de contas. De acordo com o relatório, a organização ainda não descobriu como os dados foram roubados, embora pareça constituir uma ocorrência separada da intrusão de 2014.
Além disso, a empresa tem vindo a investigar um outro incidente envolvendo um hacker que forjou cookies para entrar em contas de utilizador. O relatório apresentado na última quarta-feira revela que cerca de 32 milhões de contas de utilizador acabaram por ser afectadas.
Para proteger os utilizadores, a empresa forçou a redefinição de passwords e invalidou os cookies falsificados.
Redução de preço e renúncia a prémios
Após os incidentes de hackers, a Yahoo concordou que a Verizon Communications tirasse 350 milhões de dólares da oferta original de aquisição avançada sobre a empresa de Internet. O negócio tem fecho previsto para o segundo trimestre.
Devido às intrusões, a Yahoo revelou que a empresa está a enfrentar cerca de 43 processos judiciais. Numa mensagem de blog, a CEO da empresa, Marissa Mayer, avançou que renunciará ao seu bónus anual de remuneração, porque a violação de 2014 aconteceu durante o seu período de administração.