O Yahoo, uma empresa que está sendo contratada pela Verizon assim que os órgãos reguladores dão sinal verde, detalhou mais uma violação de dados e, desta vez, existem 32 milhões de vencedores. Este é o terceiro anúncio do tipo que ouvimos do Yahoo em apenas seis meses: o anúncio de setembro de 2016, onde descobrimos que 500 milhões de contas foram violadas desde 2014 e o anúncio de dezembro de 2016, onde foi informado que um bilhão - ou seja, bilhões de contas a conta - foi acessado desde 2013. Para qualquer pessoa com mais do que um interesse passageiro em segurança da informação, isso é simplesmente horrível.
Tão horrível foi o que aconteceu desta vez. 32 milhões são muito menos do que os 500 milhões ou um bilhão de números que vimos no Yahoo. Mas a Reuters nos diz algo que deve deixar todo mundo que já teve uma conta do Yahoo ainda mais nervoso:
"Com base na investigação, acreditamos que terceiros não autorizados acessaram o código proprietário da empresa para aprender a forjar determinados cookies", afirmou o Yahoo em seu último relatório anual.
Esses cookies foram invalidados e, portanto, não podem ser usados para acessar contas de usuários, informou a empresa.
Cookies forjados permitem que um invasor acesse a conta de um usuário sem uma senha.
Portanto, temos uma pessoa ou pessoas que foram capazes de criar cookies válidos que permitiam acesso inválido a contas de usuário porque obtiveram o código para fazê-lo a partir de um sistema Yahoo. O Yahoo mudou algo para torná-los cookies inválidos, mas isso não aborda os dois grandes elefantes da sala: O que mais eles "aprenderam" e como conseguiram acesso aos materiais que os ensinavam a fazer? Mais importante, o que mais aconteceu ou ainda está acontecendo que não foi capturado ou divulgado?
O método usado para obter acesso a 32.000.000 de contas é ainda pior do que as notícias que foram violadas.
Os detalhes são vagos na melhor das hipóteses. O Yahoo pode nos dizer mais agora que o gato está fora do saco, mas, de qualquer forma, é hora da Verizon cancelar o acordo atualmente na frente dos órgãos reguladores. Reduzir o preço em 350 milhões de dólares, como fizeram na última vez em que o Yahoo informou às contas mundiais, não foi suficiente. Mayer também não está recebendo seu bônus anual em dinheiro como "punição" por 1.532.000.000 casos em que alguém teve sua privacidade invadida sob sua vigilância. Eu posso admirar o Yahoo ficar limpo enquanto uma venda corporativa está pendente, mas isso não muda nada sobre como ou por que isso pode acontecer. No momento, o Yahoo seria pouco mais que um tijolo amarrado ao pé de Verizon enquanto eles estivessem no final do píer.
Existem várias razões pelas quais isso é ruim para a Verizon. Eles não estão recebendo o Alibaba e nada mais do que o Yahoo atualmente possa ganhar um centavo, para iniciantes. O maior é que eles precisarão manter a maioria dos métodos, infraestrutura e pessoal atuais para manter o que estão comprando. E esses estão contaminados além do reparo.
Os clientes atuais e futuros da Verizon merecem melhor e devem ter certeza de que seus dados privados estão sendo adequadamente protegidos. Embora haja pouco ou nenhum cruzamento de registros e informações da conta, você se sente bem com uma empresa com acesso a uma montanha de dados, atrapalhando-se com a bagunça quente que é o Yahoo no momento?
Você não deveria. E a Verizon não deve esperar que você se sinta bem com isso. É hora de salvar e gastar seus 4, 5 bilhões em outros lugares, Verizon.
