В конце сентября 2016 года стало известно, что компания Yahoo пострадала от масштабной утечки данных. Представители Yahoo подтвердили, что утечка произошла еще в 2014 году и коснулась по меньшей мере 500 млн пользователей. Согласно данным компании, в похищенной злоумышленниками базе данных содержались имена пользователей, email-адреса, номера телефонов, даты рождения, парольные хеши (в основном bcrypt), а также секретные вопросы и ответы на них как в зашифрованном, так и в открытом виде.
Представители Yahoo сообщили, что утечка произошла в результате атаки неназванных «правительственных хакеров», и порекомендовали всем пользователям как можно скорее поменять пароли.
Однако исследователь Trend Micro Zero-Day Initiative Саймон Цукербраун (Simon Zuckerbraun) обратил внимание, что простой смены пароля может быть недостаточно. Когда эксперт сменил собственный пароль, он с удивлением обнаружил, что iOS-приложение Yahoo Mail, установленное на его iPhone, работает как ни в чем не бывало и по-прежнему имеет доступ к аккаунту. В публикации, которую исследователь написал для блога Trend Micro, он отмечает, что Yahoo перманентно привязывает учетные данные к устройству и простая смена пароля не имеет никакого эффекта на iOS-приложение.
«Говоря другими словами, если третьи лица уже имеют доступ к вашему аккаунту, и они сконфигурировали iOS-приложение для его использования, эти лица по-прежнему будут иметь к нему доступ, даже когда вы поменяете пароль. Что еще хуже, скорее всего, вы даже не поймете, что кто-то все еще имеет доступ к вашей почте», — пишет исследователь.
Цукербраун отмечает, что Yahoo не предупредила пользователей об особенностях работы своего приложения, из-за чего «миллионы пользователей могут считать, что они защищены, когда это не совсем так». При этом для корректного обнуления пароля пользователям iOS-приложения достаточно произвести очень простые манипуляции. Исследователь рекомендует проверить раздел «Recent Activity», посмотреть, не было ли каких-то подозрительных подключений к аккаунту и, если нужно, удалить их. Затем следует разлогинить все iOS-девайсы, связанные с аккаунтом, и пройти авторизацию повторно. Также Цукербраун рекомендует использовать двухфакторную аутентификацию или Yahoo Account Key, тогда атакующим будет куда сложнее получить доступ к аккаунту, даже если он был скомпрометирован.
