Hétpecsét Információbiztonsági Egyesület

Ez lehet minden idők legdrágább adatlopása - Yahoo!

Ez lehet minden idők legdrágább adatlopása

A Yahoo!-tól ellopott adatok miatt a Verizon 1 milliárd dollárt akar alkudni a cég vételárából.

Július végén erősítette meg a két érintett cég, hogy a Verizon 4,8 milliárd dollárt ad a Yahoo!-ért. A felvásárlás csak a cég online portfólióját érinti, tehát a szabadalmak és a mintegy 40 milliárd dollárnyi befektetés (Alibaba Group, Yahoo Japan) is marad.

Csapás csapás hátán

Az, hogy az ős-internetes cég végre vevőre talál, nagy fegyvertény lehet a vezérigazgatónak, Marissa Mayernek. Csakhogy azóta több súlyos csapás is érte a céget.

Kezdődött azzal, hogy kiderült, legalább félmilliárd felhasználójuk adatait lopták elkét éve. A hackerek nevek, e-mail címek, telefonszámokat, születési adatokat, sőt egyes esetekben biztonsági kérdések és válaszok, valamint kódolt jelszavakat is meg tudtak szerezni. A bajt tetézte, hogy bár a cégnél korábban is tudtak az incidensről – és tettek is ellenlépéseket – csak szeptemberben figyelmeztették a felhasználóikat.

Másfél héttel később újabb akna robbant: a Reuters értesülései szerint a Yahoomegfigyelőeszközöket épített be a szolgáltatásaiba azt követően, hogy az FBI vagy az NSA titkos rendelkezésével a telkó cégeket ügyfeleik bejövő leveleinek átvizsgálására kötelezték.

És akkor arról ne is beszéljünk, hogy Meyert bíróság elé citálták amiatt, mert állítólag nemi alapon egy kis tisztogatást végzett a cég vezetőségében, magyarán próbálta elüldözni a férfi munkatársait, hogy helyükre nőket vegyen fel.

A Verizonnak is sok a jóból

Már az adatbiztonsági incidens kapcsán felmerült, hogy az kihathat az akkor már kész tényként kezelt felvásárlásra. A Verizon illetékesei akkor diplomatikusan fogalmaztak: vizsgálják az esemény hatását, de kevés az információjuk. Pénzügyi elemzők ugyanakkor azt jósolták, hogy az adatlopás nem befolyásolja majd lényegesen a felvásárlást.

Nem lett igazuk. A New York Post értesülése szerint ugyanis a Verizon 1 milliárdot akar faragni a vételárból. A Verizon-vezetők nem is az incidens tényén buktak ki igazán, hanem azon, hogy a Yahoo két évet várt azzal, hogy tájékoztassa a felhasználóit. Ezt a gyakorlatot egyébként az amerikai Senate Cybersecurity Caucus egyik tagja, Mark Warner virginiai szenátor is bírálta.

Azzal kapcsolatban, hogy az internetes cég szépen kiszolgálta az NSA és az FBI igényeit, a Verizonnak nem lehetett sok szava, már csak azért sem, mert 2013-ban kiderült, hogy titkos bírói végzések alapján szintén együttműködött az amerikai szolgálatokkal.

A New York Post értesülése szerint a AOL főnöke (a céget tavaly vásárolta meg http://bitport.hu/az-egyiknek-sikerul-a-masiknak-n... a Verizon 4,4 milliárd dollárért), Tim Armstrong már tárgyalásokat is kezdett a Mayerrel az árcsökkentésről.

Megy a kötélhúzás a háttérben

Mayer állítólag keményen küzd, hogy megvédje a Yahoo-részvényesek érdekeit a Verizon árcsökkentési kísérletével szemben. Egyes vélemények szerint egyébként a távközlési cégnek nincs is igazán lehetősége arra, hogy lényegesen változtasson a kialkudott feltételeken.

Ugyanakkor a Verizon szempontjából is érthető a hozzáállás, hiszen egy olyan cégnek, mint a Yahoo, létfontosságú, hogy ügyfelei bízzanak benne. Egy ilyen incidens – és főleg annak kezelési módja – azonban komoly reputációs veszteségeket okoz, ami alapvetően befolyásolhatja a cég értékét.

A lap értesüléseit egyik fél sem kommentálta.

A cikk.

Névtelen a cinkos állam

Tanítják majd az egyetemeken az esetnek szinte minden elemét. A Yahoo legalább félmilliárd felhasználójának adatait nyúlták le, valószínűleg 2014 vége felé, de csak idén, szeptember 22-én jelent meg a cég hivatalos közleménye az incidensről.

Bocsássa meg nekem a nyájas olvasó, hogy nem a technológiai aspektusát szándékozom elemezni a Yahoo-esetnek. Nem is igen volna mit, mert - nem véletlenül - egyelőre erről tudni a legkevesebbet.

Kíséreljük meg a történet megértését azzal, hogy belepillantunk a Yahoo hivatalos közleményébe! A kommunikációval, válságkommunikációval foglalkozók számára valóságos csemege a mű, amelynek már a címe is sokatmondó - azzal, hogy igyekszik semmitmondó lenni. A cég információbiztonságért felelő vezérigazgatója, Bob Lord által jegyzett textus címe angolul így hangzik: "An Important Message About Yahoo User Security", ami magyarra nagyjából így fordítható: "Fontos üzenet a Yahoo felhasználói biztonságáról".

Efféle címet akkor szokás adni, amikor nagy baj nincs, sőt lehet, hogy éppen valami fejlesztés történt, valami fontos változás lépett életbe az online szolgáltató rendszerében, és a közlő célja az, hogy elmondja, a júzernek miként kell eljárnia a változások nyomán - teszem azt - a biztonsági beállításokat illetően.

Gondolom, úgy húsz-harmincfős, különféle szakértőkből álló csapat dolgozhatott az ügy jelentőségének megfelelően lényegre törő, tömör szövegen, amelynek már az első mondata hárít. Azt sugallja, hogy a támadó nem volt akárki. Az első mondatban elhangzik, hogy a feltételezett elkövető vélhetően valamely állam támogatását élvezte ("state-sponsored actor" - olvasható a szövegben)

Szegény Bob Lord bizonyára nem arról álmodozott, amikor - csaknem egy évvel az incidens után - 2015 októberében belépett a Yahoo kötelékébe, és elvállalta a CISO pozíciót, hogy nemsokára a világtörténelem eddigi legnagyobb mértékű adatlopásáról lesz kénytelen tájékoztatni a világ közvéleményét, egy olyan esetről, amely az általa (is) felügyelt rendszert érintette.

Figyelmesen elemezve a bejelentést, feltűnik, hogy valami hiányzik belőle.

Benne van a megnyugtató állítás, miszerint a betolakodó már nem tartózkodik a rendszerben. Tartalmazza a tájékoztatást arról, mit tesz a cég azért, hogy védelmezze felhasználóit. Ad tanácsokat a felhasználóknak, mit tegyenek adataik biztonságának érdekében. És van benne egy különös bekezdés, amelynek lényege, hogy ebben a borzalmasan "connected" világban egyre veszélyeztetettebbek vagyunk, de a Yahoo mindent megtesz azért, hogy elejét vegye a fenyegetéseknek.

Egyetlen huncut, félreeső mellékmondatban sem hangzik el azonban az, hogy amúgy bocs.

És így válik számomra elgondolkodtatóvá a közlemény. Nem is a közlemény, hanem az, amit kifejez, ahova mutat.

A Yahoo a világért sem mondja, hogy szakembereinek hada ne tett volna meg mindent azért, hogy megvédelmezze felhasználóinak adatait az adatlopóktól, az ellenséges szándékúaktól. Azt mondja, hogy a fenyegetettség hálózatos világunk objektív valóságának tagadhatatlan része. Nyilvánvalóvá teszi, hogy az, aki adatokat akar ellopni vagy ellop másoktól, az a rossz oldalon áll, az bűnöző (ebből következően egyébként az, aki támogatja, szintén bűnt követ el). Kimondja, hogy szorosan együttműködik az ügy felderítése érdekében a bűnüldöző szervekkel.

Végül, de nem utolsósorban ismét említem és hangsúlyozom, hogy a Yahoo államilag támogatott (egy bizonyos állam támogatását élvező) tettest vélelmez. Márpedig aki jártas a kommunikáció e területén, annak egyértelmű, hogy a Yahoo pontosan tudja, melyik államról van szó, viszont a dolog geopolitikai jelentőségénél fogva nem nevezi meg a szóban forgó államot. Amiből viszont még a nagypolitikában kevéssé jártas szemlélő számára is nyilvánvalóvá válik, hogy valamely nagyhatalom az a bizonyos állam, mert ha egy kis államocska lenne a gyanúsított, akkor az amerikaiak nagy bátran és példát statuálva gyorsan büntetnének, móresre tanítanának.

A cikk

adatlopás Verizon Yahoo

Megtekintés: 1237