Yahoo, sembra avere il peggio sicurezza email sul pianeta quando non stanno attivamente scrivendo gli strumenti per la NSA per spiare la tua email . Ora stanno rivendicando "l'attore di stato" che ha hackerato 1 miliardo di account in grado di accedere agli account di posta elettronica senza password utilizzando i cookie contraffatti.
Our outside forensic experts have been investigating the creation of forged cookies that could allow an intruder to access users’ accounts without a password. Based on the ongoing investigation, we believe a forged cookie may have been used in 2015 or 2016 to access your account.
Come è tecnicamente possibile? Presumo che stessero forgiando i cookie di sessione? Ciò significa che possono solo attaccare sessioni attive e devono conoscere lo schema di generazione dei cookie crittografici? Anche conoscendo lo schema di generazione dei cookie, non starebbe ancora indovinando ... Voglio dire che possono generare un cookie di sessione e ottenerlo correttamente la prima volta o ci vogliono molte ipotesi?
Che altro può fare l'attaccante con l'account. Ad esempio, perché non hanno modificato le password degli account in modo che solo loro potessero accedervi?