Yahoo, parece tener lo peor seguridad de correo electrónico en el planeta cuando no están escribiendo activamente herramientas para que la NSA examine su correo electrónico . Ahora reclaman que el "actor estatal" que hackeó 1.000 millones de cuentas pudo acceder a las cuentas de correo electrónico sin contraseña mediante el uso de cookies falsificadas.
Nuestros expertos forenses externos han estado investigando la creación de cookies falsificadas que podrían permitir que un intruso acceda a las cuentas de los usuarios sin una contraseña. Según la investigación en curso, creemos que se puede haber utilizado una cookie falsificada en 2015 o 2016 para acceder a su cuenta.
¿Cómo es esto técnicamente posible? Supongo que estaban falsificando cookies de sesión? ¿Eso significa que solo pueden atacar sesiones activas y deben conocer el esquema de generación de cookies criptográficas? Incluso conociendo el esquema de generación de cookies, ¿no sería todavía adivinar ... Quiero decir, pueden generar una cookie de sesión y corregirla la primera vez o tienen muchas conjeturas?
¿Qué más puede hacer el atacante con la cuenta? Por ejemplo, ¿por qué no cambiaron las contraseñas en las cuentas para que solo pudieran acceder a ellas?