Onderzoek van Yahoo heeft de reactie op de inbreuk in 2014 mislukt

Als uw bedrijf een datalek heeft meegemaakt, is het waarschijnlijk een goed idee om dit onmiddellijk grondig te onderzoeken.

Helaas deed Yahoo dat niet, volgens een nieuw intern onderzoek. De internetpionier, die in september een massaal datalek met 500 miljoen gebruikersaccounts meldde, wist eigenlijk dat er in 2014 een inbraak was opgetreden, maar zou zijn reactie naar verluidt hebben ondermijnd.

De bevindingen werden gedaan in een Yahoo-effectenbeurs die woensdag meer details bood over de inbreuk in 2014, die het bedrijf de schuld heeft gegeven van een door de staat gesponsorde hacker.

Die inbreuk, die vorig jaar pas openbaar werd gemaakt, betrof de diefstal van gebruikersaccountgegevens zoals e-mailadressen, telefoonnummers en gehashte wachtwoorden. Nadat Yahoo ermee bekend was gemaakt, richtte het bedrijf een onafhankelijke commissie op om de zaak te onderzoeken.

De commissie constateerde dat het beveiligingsteam en de senior executives van Yahoo eigenlijk wisten dat een door de staat gesponsorde acteur volgens de aanvraag in 2014 bepaalde gebruikersaccounts had gehackt. Maar zelfs toen het bedrijf enkele corrigerende maatregelen nam, zoals het informeren van 26 gebruikers die het doelwit waren van de hack en het toevoegen van nieuwe beveiligingsfuncties, slaagden sommige senior executives er naar verluidt niet in om het incident verder te begrijpen of te onderzoeken.

In december 2014 wist het beveiligingsteam van Yahoo bijvoorbeeld dat de door de staat gesponsorde acteur kopieën had gestolen van back-upbestanden met persoonlijke gegevens van gebruikers. Maar het is onduidelijk of deze informatie ooit "effectief is gecommuniceerd en begrepen" buiten het beveiligingsteam, aldus de aanvraag van woensdag.

Er werd geen opzettelijke onderdrukking van informatie gevonden, hoewel het juridische team van Yahoo genoeg reden had om de inbreuken verder te onderzoeken, concludeerde de commissie. Maar toch deden ze dat niet. 

"Als gevolg hiervan werd het beveiligingsincident van 2014 destijds niet goed onderzocht en geanalyseerd", aldus de indiening. 

Pas ongeveer twee jaar later maakte Yahoo de inbreuk openbaar bekend. Dat kwam nadat een gestolen database van het bedrijf naar verluidt te koop was aangeboden op de zwarte markt.

Echter, nadat Yahoo de inbreuk had onthuld, een paar maanden later, hoorde het bedrijf van een nog grotere hack waarbij 1 miljard Yahoo-gebruikersaccounts betrokken waren en de reputatie van het bedrijf verder werd opgeschud.

Die inbreuk vond oorspronkelijk plaats in augustus 2013, maar werd pas opgemerkt toen de wetshandhaving Yahoo afgelopen november een kopie van de gestolen gegevens bezorgde.

Volgens de aanvraag van woensdag heeft Yahoo nog steeds niet geleerd hoe deze gegevens zijn gestolen, hoewel het los lijkt te staan ​​van de inbreuk in 2014.

Daarnaast heeft het bedrijf een ander incident onderzocht waarbij een hacker cookies heeft vervalst om in te breken op gebruikersaccounts. De aanvraag van woensdag zei dat ongeveer 32 miljoen gebruikersaccounts waren getroffen. 

"We zijn van mening dat een deel van deze activiteit verband houdt met dezelfde door de staat gesponsorde acteur waarvan wordt aangenomen dat hij verantwoordelijk is voor het beveiligingsincident van 2014," zei Yahoo.

Om gebruikers te beschermen, heeft het bedrijf het opnieuw instellen van wachtwoorden geforceerd en de vervalste cookies ongeldig gemaakt.

Desalniettemin stemde Yahoo na de hackincidenten ermee in om US $ 350 miljoen af ​​te nemen van het oorspronkelijke aanbod van Verizon Communications om het internetbedrijf te kopen. De deal zal naar verwachting dit tweede kwartaal afsluiten.

Vanwege de inbreuken zei Yahoo dat het bedrijf wordt geconfronteerd met ongeveer 43 class action-rechtszaken. 

In een aparte post zei Yahoo CEO Marissa Mayer dat ze afziet van het nemen van haar jaarlijkse bonus omdat de inbreuk in 2014 op haar horloge plaatsvond.

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.