今日(米国時間3/15)司法省が提出した起訴状によると、5億人のユーザーが被害者になった2014年のYahooハックの犯人とされているハッカーの一人が、金銭目的で検索結果を操作した。
Alexsey Belanはeコマースの詐欺や悪質なハッキングで何度も告発された人物だが、2013年にはロシアに逃げおおせていた…それは彼がヨーロッパで逮捕され本国(アメリカ)へ送還される前のことだった。彼に帰せられている罪は、共犯者たちのそれに比べると、人の弱みにつけ込むような性質が強かったようだ。、
彼の手口のひとつは、Yahooの検索エンジンのサーバーの一部を操作して、“erectile dysfunction medications”(勃起不全の治療薬)で検索した人(もちろんこんな医学専門用語ではない検索もある)をネット上の薬屋さんへ回し、その紹介料金をもらう、というものだった。その犯行を無名のクラウドコンピューティングサービスを利用して行い、その結果そのクラウドサービスは、知らない間に、Yahooとその薬屋さんの間(あいだ)を仲介していたことになる。
これにより犯人たちによるYahooデータへのアクセスは、余録をもたらしたとも言えそうだ。つまりメールやハッシュされているパスワード、そしてごくふつうのデータに紛れ込んでいるセキュリティ関連の質問などが盗まれたことが、明らかになる前に、もっと深いレベルで不法妨害行為が起きていたのだ。もしもBolanが特定の市場を密接にモニタし、そこに検索結果を植え込んだのなら、それこそが、大量のデータをハックしたことから彼や彼のクライアントが得られる最高の利得だっただろう。
二週間前にはYahooのSECへの提出文書が、このハックに関する新事実を明かしている。すなわちそれは、その侵入によって“プロプライエタリなコード”(私権を有するコード)が露出したことだ。何のコードか? どうやって‘盗まれた’のか? Yahooは今、このハックに関するありのままの情報を‘大量出血’しているから、この問への答えもまもなく得られるだろう。
情報開示: VerizonはAolのオーナーであり、AOLは本誌TechCrunchのオーナーである。そのVerizonは、Yahooを買収しようとしている。