34-letni Reyes Daniel Ruiz z Tracy w Kalifornii przyznał się do włamania się na około 600 kont Yahoo. Wykorzystał uprzywilejowany dostęp ze względu na swoją rolę zawodową. Dzięki łamaniu haseł do kont i uzyskiwaniu dostępu do wewnętrznych systemów w Yahoo Ruiz mógł włamać się na konta młodych kobiet, w tym należących do osobistych przyjaciół i współpracowników. Zdjęcia i filmy skradzione z zaatakowanych kont zostały następnie skopiowane na komputery w domu Ruiza. Wyobrażam sobie, że to dość okropne doświadczenie, wiedząc, że haker uzyskał dostęp do twojego konta e-mail i uzyskał dostęp do twoich najbardziej prywatnych zdjęć i filmów. Ale jeszcze gorsze jest, gdy zdasz sobie sprawę, że to ktoś z twojego kręgu społecznego lub jeden z kolegów z pracy, który widział twoje zdjęcia nago.
Najwyraźniej dostęp do kont Yahoo nie był wystarczający dla Ruiza. Ponieważ po przejściu na konta Yahoo ofiar, Ruiz mógł następnie uzyskać dostęp do ich innych kont internetowych – w tym Apple iCloud, Dropbox, Facebook i Gmail – w poszukiwaniu dalszych prywatnych zdjęć i filmów. Najprawdopodobniej Ruiz mógł użyć kilku różnych technik, aby uzyskać dostęp do kont innych niż Yahoo. Gdyby użytkownicy niestety popełnili błąd przy ponownym użyciu haseł, to dla Ruiza byłoby oczywiste, że używanie tego samego hasła w celu uzyskania dostępu do, powiedzmy, konta na Facebooku byłoby dziecinnie proste. Jednak nawet gdyby używane były różne hasła, Ruiz byłby w stanie poprosić o zresetowanie hasła z witryny strony trzeciej na konto Yahoo ofiary.
W obu przypadkach użycie uwierzytelniania dwuskładnikowego mogło utrudnić Ruizowi rozszerzenie wyszukiwania nagich zdjęć na inne konta ofiar. Według komunikatu prasowego DOJ , działania Ruiza zostały zauważone tylko wtedy, gdy Yahoo zauważył podejrzaną aktywność na koncie. Próbując zniszczyć dowody, Ruiz „zniszczył komputer i dysk twardy, na którym przechowywał obrazy”. Choć oskarżony zarówno o ingerencję komputerową, jak i przechwytywanie komunikacji przewodowej, Ruiz przyznał się jedynie do wcześniejszego zarzutu. Wyrok jest obecnie zaplanowany na początek lutego 2020 r., Gdzie Ruiz może zostać skazany na pięć lat więzienia i grzywnę w wysokości 250 000 USD.
Kluczowym pytaniem jest, czy Yahoo miał wystarczająco silne zabezpieczenia, aby zapobiec nadużywaniu przez pracowników dostępu do wewnętrznych systemów i danych.
Źródło: Bitdefender