Yahoo, resmi makamlara sunulması amacıyla hazırlanan bir belgeyle 1 milyar kişiyi etkilediği düşünülen veri sızıntısına ilişkin yeni detayları paylaştı. Söz konusu belgede, Yahoo hesapları üzerine düzenlenen saldırıda hangi yöntemin kullanıldığını öğrenmek de mümkün oluyor.
Belgeye göre, Yahoo’nun kodunu ele geçiren kullanıcılar bu sayede sahte çerezler oluşturdu. Söz konusu sahte çerezlerle 2015 ve 2016’da toplam 32 milyon hesabın ele geçirildiği belirtildi. Şirket tarafından “ABD’nin SPK’sı” olarak nitelenebilecek Securities and Exchange Commission’a (SEC) gönderilen K-10 belgesi, sızıntı sürecine dair başka bilgileri de ortaya çıkarıyor. Belgeye göre, Yahoo devlet destekli saldırganların hesap yönetimi araçlarını kötüye kullandıklarını farkettikten sonra 26 kişiyi durumdan haberdar etti. Buna ek olarak, şirket yapılması gerekenler konusunda yasal mercilerden de bilgi aldı.
Yahoo hesapları 2014’te hedef alınmaya başlamış
Yahoo söz konusu saldırıların ve yol açtıkları güvenlik açıklarının kapsamını geçtiğimiz aralık ayında açıklamıştı. Ancak paylaşılan yeni belgede, bazı üst düzey yöneticilerinin konuyu yeterince dikkatli biçimde araştırmadığı ve bu nedenle gerekli önlemlerin alınmadığı ifade ediliyor. Raporda söz konusu saldırılara dair ilk bilgilerin 2014’te şirkete ulaştığı da belirtiliyor.
Şirket içinde gerçekleştirilen incelemenin sonucunda CEO Marissa Mayer’in 2016 yılına ait nakit primini almamasına karar verildi. Baş hukuk müşaviri Ronald S. Bell ise görevinden istifa etti. Mayer, durumdan geçtiğimiz yılın eylül ayı itibarıyla haberdar olduğunu belirtirken, ortaya çıkan sızıntı Verizon’ın Yahoo’yu satın almak için ödeyeceği bedelin aşağıya çekilmesine sebep olmuştu.