Siga-nos

Perfil

Expresso

Internacional

A Yahoo foi alvo de um ataque “patrocinado por um Estado” e 500 milhões de utilizadores foram roubados

  • 333

Justin Sullivan

Empresa cibernética norte-americana assume que, em 2014, hackers roubaram informações de cerca de 500 milhões dos seus utilizadores. É o maior ciberataque algum dia revelado publicamente e pode pôr em causa o negócio fechado com a Verizon em julho. Empresa aconselha os utilizadores a mudarem as suas passwords e perguntas de segurança com urgência

A Yahoo informou na quinta-feira à noite que cerca de 500 milhões dos seus utilizadores estiveram expostos a um ciberataque ocorrido há dois anos, em 2014, e que algumas das suas informações foram roubadas pelos responsáveis desse ataque. A quebra de sigilo, naquele que a BBC diz ser o maior ciberataque algum dia revelado publicamente, incluiu o roubo de informação pessoal dos utilizadores, como nomes e emails bem como "perguntas e respostas de segurança não-encriptadas", informou a empresa, referindo que parece ter sido "patrocinado por um Estado" mas sem avançar mais detalhes.

A multinacional cibernética, que em julho foi comprada pela gigante de telecomunicações Verizon por 4,8 mil milhões de dólares (4,3 mil milhões de euros), garante que os dados dos cartões de crédito dos seus clientes não foram roubados. O FBI já confirmou que está a investigar o ataque cibernético.

Em maio, um jovem hacker russo gabara-se num fórum de ter roubado as informações de emails e passwords de 272 milhões de contas de internet, incluindo de utilizadores do Yahoo Mail para além do Hotmail da Microsoft e do Gmail da Google.

"A informação é tremenda e esta pessoa mostrou estar disposta a dar os dados a pessoas que falem bem dele", declarou na altura a Holden Security, uma empresa de segurança informática sedeada nos Estados Unidos que é conhecida pela recuperação de grandes mananciais de dados roubados por hackers da Europa de leste.

Essa mesma empresa disse ontem que "os dados da Yahoo que foram roubados são críticos, não só porque estão integrados num único sistema mas também porque deixa a descoberto as ligações dos utilizadores às suas contas bancárias, perfis das redes sociais, outros serviços financeiros e aos nomes de amigos e familiares", explica Alex Holden, o fundador da Holden Security, citado pelo "New York Times". "Esta é uma das maiores violações da privacidade das pessoas e foi muito abragente."

As primeiras suspeitas surgiram em agosto, quando um hacker conhecido como "Peace" tentou vender a informação de 200 milhões de contas Yahoo. A empresa diz que a brecha na segurança atingiu muito mais utilizadores do que inicialmente se pensava e que, entre os dados roubados, se contam não só os nomes e contas de email dos utilizadores, como os seus números de telefone, datas de nascimento e até passwords encriptadas.

A Yahoo, que conta com mil milhões de utilizadores mensais, está a recomendar aqueles que não alteram as suas passwords desde 2014 a fazerem-no com urgência, mas a aparente preocupação com a sua segurança não anula as críticas pelo atraso na deteção e confirmação deste ataque.

"É deveras preocupante que uma quebra de segurança de 2014 possa ter ficado por detetar tanto tempo", diz Alan Woordward, especialista da Universidade de Surrey, citado pela BBC. "É igualmente surpreendente que um comunicado público tenha demorado tanto tempo a aparecer. Partiria do princípio que a maioria das empresas já teve tempo de aprender que quanto mais cedo anunciam [que foram alvo deste tipo de ciberataques] melhor, mesmo que tenham de ir revendo e atualizando o que se sabe. Posso entender um atraso de alguns dias para confirmar se a quebra de segurança é genuína, já que é cada vez mais comum haver divulgações de dados falsos, mas seis semanas parece demasiado tempo."

Ao mesmo canal britânico, a Verizon justificou que assim que soube do ciberataque tinha ainda "informação limitada" sobre o caso. "Vamos fazer avalições à medida que a investigação prossegue com os interesses gerais da Verizon salvaguardados, incluindo dos consumidores, clientes, acionistas e comunidades relacionadas", disse a empresa em comunicado. "Até lá, não estamos em posição de fazer mais comentários".

Num outro comunicado, a Yahoo disse que "as intrusões online e os roubos [de ciberdados] por atores patrocinados por Estados está a tornar-se cada vez mais comum na indústria da tecnologia."

A Reuters avança que três altos funcionários da comunidade de serviços secretos dos Estados Unidos acreditam que o ataque foi patrocinado por um Estado porque foi em tudo semelhante a anteriores ciberataques ligados aos serviços secretos da Rússia.

"A Yahoo provavelmente vai passar a estar sob intenso escrutínio dos reguladores, dos media e do público e com razão", defende Nikki Parker, vice-presidente da empresa de segurança cibernética Covata. "As grandes empresas não podem fugir das violações de dados e devem erguer as mãos e mostrar que estão comprometidas com a resolução do problema. Esperemos que a tinta já esteja seca no contrato com a Verizon", acrescentou a especialista em cibersegurança, referindo-se ao negócio multimilionário fechado há dois meses.

A escala do ataque, refere a BBC, é a mais abrangente de entre as violações de segurança cibernética de grandes empresas que foram sendo assumidas nos últimos anos, incluindo os casos de roubo de dados do MySpace (359 milhões de utilizadores), do LinkedIn (164 milhões) e da Adobe (152 milhões).

Em tempos o mais popular site dos EUA, com a empresa na altura avaliada em 125 mil milhões de dólares, a Yahoo foi perdendo terreno na internet para outros fornecedores de email a partir do final dos anos 1990, o que em última instância levou a que fosse comprada pela Verizon este ano, com o grande propósito de aceder à sua base de dados massiva e vender aos utilizadores publicidade segmentada.