L’indagine sul furto delle informazioni relative ad almeno 500 milioni di account è tuttora in corso, ma dalla documentazione depositata da Yahoo presso la SEC (il form 10-Q obbligatorio per le aziende quotate in Borsa) emerge un fatto piuttosto increscioso che potrebbe avere conseguenze sull’accordo di acquisizione sottoscritto con Verizon. I dipendenti sapevano dell’attacco effettuato nel 2014, ma nulla è stato detto ai futuri proprietari.
Per evidenziare la gravità del problema occorre riassumere la timeline degli eventi. L’operatore Verizon ha formulato la proposta di acquisto a fine luglio (4,83 miliardi di dollari). Yahoo ha pubblicamente ammesso il furto a fine settembre, quindi due mesi dopo la firma dell’accordo. L’attacco subito da cracker pagati da un governo straniero non è stato comunicato a Verizon durante la negoziazione. L’operatore telefonico ha quindi chiesto uno sconto di 1 miliardo, in quanto il valore di Yahoo è diminuito in seguito all’accaduto.
L’azienda guidata da Marissa Mayer ha ammesso che i dipendenti erano a conoscenza dell’attacco dal 2014. Nel documento non viene però chiarito se il problema era stato segnalato anche ai dirigenti. L’unica certezza è il furto di nomi, indirizzi email, numeri di telefono, date di nascita e password associati a 500 milioni di account. Durante l’indagine in corso, gli esperti forensi hanno trovato prove sulla modalità di accesso ai sistemi. I cybercriminali avrebbero creato particolari cookie che consentono di effettuare il login senza digitare la password.
Nel form Q-10 viene inoltre specificato che contro Yahoo sono state finora depositate 23 class action da parte dei consumatori. Tutto ciò potrebbe avere ripercussioni sulla conclusione dell’accordo di acquisizione prevista per l’inizio del 2017. Verizon avrebbe sicuramente il diritto di chiedere una riduzione dell’offerta oppure di lasciare Yahoo al suo destino.