image

Gegevens 1 miljard Yahoo-gebruikers in 2013 gestolen

donderdag 15 december 2016, 09:19 door Redactie, 6 reacties

Na een datalek in 2014 waarbij de gegevens van 500 miljoen Yahoo-gebruikers werden gestolen zijn bij een ander incident een jaar eerder de gegevens van meer dan 1 miljard gebruikers buitgemaakt. Verder blijkt dat aanvallers zonder wachtwoord op Yahoo-accounts konden inloggen.

Dat heeft de internetgigant via de eigen website bekendgemaakt. De informatie die in augustus 2013 werd gestolen bestaat uit namen, e-mailadressen, telefoonnummers, geboortedata, via het md5-algoritme gehashte wachtwoorden en in sommige gevallen versleutelde of onversleutelde veiligheidsvragen en antwoorden. Md5-wachtwoordhashes blijken in de praktijk eenvoudig te kraken, waardoor aanvallers ook het bijbehorende wachtwoord kunnen achterhalen.

Eerder had Yahoo al aangegeven dat het een manier onderzocht waardoor aanvallers via vervalste cookies toegang tot accounts wisten te krijgen, zonder dat hierbij een wachtwoord benodigd was. Nu stelt de internetgigant dat een derde partij toegang tot de code van Yahoo heeft gekregen om te leren hoe cookies moesten worden vervalst om zo toegang tot accounts te krijgen. De accounts waarvoor dit is gebruikt zijn inmiddels ge√Įdentificeerd en de vervalste cookies zijn ongeldig gemaakt. Een deel van deze activiteiten zou het werk zijn van de aanvallers die ook de gegevens van 500 miljoen gebruikers zouden hebben gestolen.

Yahoo gaat alle getroffen gebruikers waarschuwen en heeft gebruikers verplicht om hun wachtwoord te wijzigen. Tevens zijn alle onversleutelde veiligheidsvragen om wachtwoorden te resetten ongeldig gemaakt. Verder heeft Yahoo maatregelen getroffen om de systemen beter tegen vervalste cookies te beschermen.

Reacties (6)
15-12-2016, 10:42 door Anoniem
Yahoo gaat alle getroffen gebruikers waarschuwen ....

Zouden er ook nog NIET getroffen gebruikers kunnen zijn bij Yahoo, 1 MILJARD !!
15-12-2016, 11:30 door Anoniem
Mooi recept voor een spam mailtje...

<<<< klik op deze link om te kijken of uw wachtwoord gestolen is bij YAHOO >>>
15-12-2016, 11:58 door Anoniem
lol dat is ongeveer 1/7e deel van de wereld bevolking (1.37 miljard). Dus er is heel wat redunantie. En dit zegt ook heel wat over hun account management in negatieve zin.

YAHOO!!!


Ik hou mijn hart vast mbt Google
15-12-2016, 12:21 door Anoniem
Desondanks zit ik nog bij Yahoo... De beveiliging is inmiddels veel beter geworden middels 2 factor authenticatie.
15-12-2016, 19:33 door Anoniem
Niets aan de hand, want iedereen heeft volgens de veiligheidsvoorschriften natuurlijk zijn wachtwoord al meerdere malen gewijzigd in deze 3 jaar

Niet?
15-12-2016, 22:03 door Anoniem
Het is nu beter geworden bij Yahoo, als het spreekwoordelijke kalf eerst verdronken is, dan dempt men de put.

Maar feit blijft dat we lange tijd hebben gedacht, dat het beter was.
Eigenlijk was de werkelijke situatie steeds heel erg zorgwekkend en is die dat nog steeds.

En wat weten we nu eigenlijk van de ware onveiligheid van de infrastructuur.
Het wordt altijd mooier voorgesteld als het in het echt is.
Dan gaat er nog een heleboel per geluk lange tijd goed, eer het goed fout gaat.

Als meer als de helft van de websites niet voldoet aan wat we kennen als "best practices"
en een zeer groot gedeelte onvoldoende van patches en updates is voorzien.

Als er ook nog een heleboel beveiliging domweg vergeten wordt omdat het niet past binnen het kosten plaatje.
Dan is het misschien wel vaak een wonder dat het nog zo lang goed blijft gaan.

We noemen even op om op te frissen: phishen, spammen, seo redirecten, cloaking, javascript malware, inline scripten, kwetsbare software vol met bekende en onbekende bugs, misconfiguraties (server, CMS), verkeerde instellingen, verkeerd ingestelde certificaten,omgekeerde encryptie (vanaf de zwakste kant geserveerd) CSP niet toegepast, XSS-DOM kwetsbaarheden op scripts zonder sri-hashes (tegen safe origin principe gezondigd), SGL injecties, DROWn kwetsbare servertjes die het hele areaal erboven aansteken. Alles afgezien van overige malware, crapware, adware, PUPs en andere meuk code.

Mag ik zo nog even doorgaan? Die het dagelijks zien, richten een blik op een php versie en php code naam en weten,
weer een website die elk moment gehacked en gedefaced kan worden. Noemen we nog server info proliferatie, onveilige http cookies, clickjacking, onveilige IDs tracking, en een hele rits aan zaken aan de kant, van de client, zoals daar zijn CanvasFingerprinting, Strict CSP niet afgedwongen, Stun server WebRTC lekken, WebGL niet uitgezet, etc. etc.

Nee, verder opnoemen dat doe ik niet, maar men heeft het inmiddels wel begrepen, denk ik.
Wat gaan we eraan doen met zijn allen? Tijd om even enerverend innovatief aan de slag te gaan
en tijd voor beveiligingseducatie! Ik doe in ieder geval mee. U ook?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.