Les dirigeants de Yahoo ont bâclé sa réponse à la violation de 2014, selon une enquête

Si votre entreprise a subi une violation de données, c'est probablement une bonne idée d'enquêter rapidement et en profondeur.

Malheureusement, Yahoo ne l'a pas fait, selon une nouvelle enquête interne. Le pionnier d'Internet, qui a signalé une violation massive de données impliquant 500 millions de comptes d'utilisateurs en septembre, savait en fait qu'une intrusion s'était produite en 2014, mais aurait bâclé sa réponse..

Les conclusions ont été rendues mercredi dans un dossier de bourse de Yahoo qui a fourni plus de détails sur la violation de 2014, que la société a imputée à un pirate parrainé par l'État..

Cette violation, qui n'est devenue publique que l'année dernière, a impliqué le vol de détails de compte d'utilisateur tels que des adresses e-mail, des numéros de téléphone et des mots de passe hachés. Après que Yahoo l'ait rendu public, la société a créé un comité indépendant pour enquêter sur la question..

Le comité a constaté que l'équipe de sécurité de Yahoo et les cadres supérieurs savaient réellement qu'un acteur parrainé par l'État avait piraté certains comptes d'utilisateurs en 2014, selon le dossier. Mais même si la société a pris des mesures correctives, telles que la notification de 26 utilisateurs ciblés dans le piratage et l'ajout de nouvelles fonctionnalités de sécurité, certains cadres supérieurs auraient échoué à comprendre ou à enquêter davantage sur l'incident..

Par exemple, en décembre 2014, l'équipe de sécurité de Yahoo savait que l'acteur parrainé par l'État avait volé des copies des fichiers de sauvegarde contenant les données personnelles des utilisateurs. Mais il est difficile de savoir si ces informations ont été "effectivement communiquées et comprises" en dehors de l'équipe de sécurité, selon le dossier de mercredi..

Aucune suppression intentionnelle d'informations n'a été trouvée, bien que l'équipe juridique de Yahoo ait eu suffisamment de raisons pour enquêter davantage sur les violations, a conclu le comité. Mais encore, ils ne l'ont pas. 

"En conséquence, l'incident de sécurité de 2014 n'a pas été correctement enquêté et analysé à l'époque", a indiqué le dossier.. 

Ce n'est qu'environ deux ans plus tard que Yahoo a révélé publiquement la violation. Cela est venu après qu'une base de données volée de la société aurait été mise en vente sur le marché noir.

Cependant, après que Yahoo a révélé la violation, quelques mois plus tard, la société a appris un piratage encore plus important qui impliquait 1 milliard de comptes d'utilisateurs Yahoo et a encore ébranlé la réputation de l'entreprise.

Cette violation s'est produite à l'origine en août 2013, mais n'a été remarquée que lorsque les forces de l'ordre ont fourni à Yahoo une copie des données volées en novembre dernier..

Selon le dossier de mercredi, Yahoo n'a toujours pas appris comment ces données ont été volées, bien qu'elles semblent être distinctes de la violation de 2014.

En outre, la société enquête sur un autre incident impliquant un pirate informatique qui falsifie des cookies afin de pénétrer dans les comptes d'utilisateurs. Le dossier de mercredi indique qu'environ 32 millions de comptes d'utilisateurs ont été affectés. 

"Nous pensons qu'une partie de cette activité est liée au même acteur parrainé par l'État qui serait responsable de l'incident de sécurité de 2014", a déclaré Yahoo..

Pour protéger les utilisateurs, l'entreprise a forcé la réinitialisation du mot de passe et invalidé les cookies falsifiés.

Néanmoins, après les incidents de piratage, Yahoo a accepté de retirer 350 millions de dollars de l'offre initiale de Verizon Communications pour acheter la société Internet. L'accord devrait conclure ce deuxième trimestre.

En raison des violations, Yahoo a déclaré que la société faisait face à environ 43 recours collectifs.. 

Dans un article séparé, la PDG de Yahoo, Marissa Mayer, a déclaré qu'elle renoncerait à prendre sa prime annuelle parce que la violation de 2014 s'est produite sur sa montre..

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.