Por dentro do ataque ao Yahoo: como hackers tiveram acesso a milhares de contas

Martyn Williams, IDG News Service
16/03/2017 - 10h13
Um único clique foi necessário para lançar um dos maiores vazamentos de banco de dados da história

Um clique equivocado. Isso foi o que bastou para hackers alinhados com o serviço de segurança do Estado russo para obter acesso à rede do Yahoo e potencialmente às mensagens de e-mail e informações privadas de cerca de 500 milhões de pessoas.

O Departamento Federal de Investigação dos Estados Unidos tem se debruçado sobre o hacking há dois anos, mas foi só no final de 2016 que a escala completa da invasão se tornou aparente. Na última quarta-feira (15/03), o FBI indiciou quatro pessoas para o ataque, dois dos quais são espiões russos.

Segundo o FBI, o ataque começou com um e-mail de phishing enviado no início de 2014 para um funcionário da empresa do Yahoo. Não está claro quantos funcionários foram direcionados e quantos e-mails foram enviados, mas é preciso apenas uma pessoa para clicar em um link e foi isso que aconteceu.

Uma vez que Aleksey Belan, hacker letão contratado pelos agentes russos, começou a interromper a rede, ele procurou dois prêmios: o banco de dados de usuários do Yahoo e a ferramenta de gerenciamento de contas, usada para editar o banco de dados. E logo, ele os encontrou.

Para que ele não perdesse o acesso, ele instalou uma backdoor em um servidor do Yahoo que lhe permitiria acesso, e em dezembro ele roubou uma cópia de backup do banco de dados do usuário do Yahoo e transferiu para seu próprio computador.

O banco de dados continha nomes, números de telefone, perguntas e respostas de desafio de senha e, crucialmente, e-mails de recuperação de senha e um valor criptográfico exclusivo para cada conta.

São esses dois últimos itens que permitiram que Belan e seu colega hacker Karim Baratov tivessem acesso às contas de alguns usuários solicitados pelos agentes russos, Dmitry Dokuchaev e Igor Sushchin.

A ferramenta de gerenciamento de conta não permitia pesquisas de texto simples de nomes de usuários, então os hackers se voltaram para endereços de e-mail de recuperação. Às vezes, eles eram capazes de identificar alvos com base em seu endereço de e-mail de recuperação e, às vezes, o domínio de e-mail indicou que o titular da conta trabalhava em uma empresa ou organização de interesse.

Uma vez que as contas tinham sido identificadas, os hackers podiam usar valores criptográficos roubados chamados "nonces" para gerar cookies de acesso através de um script que tinha sido instalado em um servidor Yahoo. Esses cookies, que foram gerados muitas vezes ao longo de 2015 e 2016, deu aos hackers acesso gratuito a uma conta de e-mail de usuário sem a necessidade de uma senha.

Ao longo do processo, Belan e seu colega foram clínicos em sua abordagem. Dos cerca de 500 milhões de contas que potencialmente tinham acesso, eles só geraram cookies para cerca de 6.500 contas.

Entre os usuários hackeados estavam um assistente do vice-presidente da Rússia, um oficial do Ministério dos Assuntos Internos da Rússia e um treinador que trabalha no Ministério dos Esportes da Rússia. Outros pertenciam a jornalistas russos, funcionários de estados vizinhos da Rússia, funcionários do governo dos EUA, funcionários de uma carteira de bitcoin da Suíça e um trabalhador de companhias aéreas dos EUA.

O ataque foi tão minucioso que quando o Yahoo se aproximou do FBI em 2014, foi com a preocupação de que 26 contas tivessem sido alvo de hackers. Não foi até o final de agosto de 2016 que a escala completa da violação começou a se tornar aparente e a investigação do FBI intensificou significativamente.

Em dezembro de 2016, o Yahoo foi a público com detalhes da violação e aconselhou centenas de milhões de usuários a alterar suas senhas.