Хакер #305. Многошаговые SQL-инъекции
Журналисты Reuters, ссылаясь на три собственных источника внутри компании, рассказали, что компания Yahoo с 2015 года шпионила за своими пользователями.
По данным агентства, еще в начале 2015 года спецслужбы США приказали руководству компании создать инструмент, при помощи которого можно было бы проверять все входящие сообщения на предмет «последовательностей символов, которыми пользуются шпионы». Затем подозрительные сообщения предписывалось сохранять для дальнейшего удаленного изучения. Reuters сообщает, что соответственное предписание было получено компанией от ФБР или АНБ, и руководство компании предпочло безропотно его исполнить. Что именно искали в почте пользователей сотрудники спецслужб неизвестно. «Последовательности символов» могли содержаться как в самих письмах, так и вложениях.
Reuters сообщает, что служба безопасности компании ничего не знала о создании данного инструмента, а обнаружив его, в мае 2015 года, приняла за вторжение хакеров. Когда стало известно, что создание данной шпионской программы санкционировано руководством Yahoo и напрямую Мариссой Майер (Marissa Mayer), в середине 2015 года компанию покинул директор по информационной безопасности Алекс Стамос (Alex Stamos). Впрочем, сам Стамос отказался подтвердить или опровергнуть связь между данными событиями.
Также журналисты Reuters отмечают, что Yahoo, вероятно, является не единственной компанией, к которой представители спецслужб обращались с подобным запросом.
Журналисты издания The Register связались с представителями Facebook, Google и Microsoft, поинтересовавшись у них, не обращались ли власти к ним с подобными «предложениями». Представители Google ответили, что никогда не получали таких запросов, а если бы получили, то ответ компании был бы прост: «и речи быть не может». Аналогичным образом ответили представители Microsoft и Facebook, сообщив, что к ним власти не обращались, а в противном случае получили бы жесткий отпор.
Тем временем, сами представители Yahoo заявляют, что компания «не нарушила никаких законов» и называют статью Reuters ложью: "Утверждения в данной статье ложны.Мы очень тщательно истолковываем каждый запрос, полученный от властей, чтобы минимизировать раскрытие пользовательских данных. Почтового сканера, описанного в статье, попросту не существует".