Gegevens 1 miljard Yahoo-gebruikers in 2013 gestolen
Na een datalek in 2014 waarbij de gegevens van 500 miljoen Yahoo-gebruikers werden gestolen zijn bij een ander incident een jaar eerder de gegevens van meer dan 1 miljard gebruikers buitgemaakt. Verder blijkt dat aanvallers zonder wachtwoord op Yahoo-accounts konden inloggen.
Dat heeft de internetgigant via de eigen website bekendgemaakt. De informatie die in augustus 2013 werd gestolen bestaat uit namen, e-mailadressen, telefoonnummers, geboortedata, via het md5-algoritme gehashte wachtwoorden en in sommige gevallen versleutelde of onversleutelde veiligheidsvragen en antwoorden. Md5-wachtwoordhashes blijken in de praktijk eenvoudig te kraken, waardoor aanvallers ook het bijbehorende wachtwoord kunnen achterhalen.
Eerder had Yahoo al aangegeven dat het een manier onderzocht waardoor aanvallers via vervalste cookies toegang tot accounts wisten te krijgen, zonder dat hierbij een wachtwoord benodigd was. Nu stelt de internetgigant dat een derde partij toegang tot de code van Yahoo heeft gekregen om te leren hoe cookies moesten worden vervalst om zo toegang tot accounts te krijgen. De accounts waarvoor dit is gebruikt zijn inmiddels geïdentificeerd en de vervalste cookies zijn ongeldig gemaakt. Een deel van deze activiteiten zou het werk zijn van de aanvallers die ook de gegevens van 500 miljoen gebruikers zouden hebben gestolen.
Yahoo gaat alle getroffen gebruikers waarschuwen en heeft gebruikers verplicht om hun wachtwoord te wijzigen. Tevens zijn alle onversleutelde veiligheidsvragen om wachtwoorden te resetten ongeldig gemaakt. Verder heeft Yahoo maatregelen getroffen om de systemen beter tegen vervalste cookies te beschermen.
Zouden er ook nog NIET getroffen gebruikers kunnen zijn bij Yahoo, 1 MILJARD !!
<<<< klik op deze link om te kijken of uw wachtwoord gestolen is bij YAHOO >>>
YAHOO!!!
Ik hou mijn hart vast mbt Google
Niet?
Maar feit blijft dat we lange tijd hebben gedacht, dat het beter was.
Eigenlijk was de werkelijke situatie steeds heel erg zorgwekkend en is die dat nog steeds.
En wat weten we nu eigenlijk van de ware onveiligheid van de infrastructuur.
Het wordt altijd mooier voorgesteld als het in het echt is.
Dan gaat er nog een heleboel per geluk lange tijd goed, eer het goed fout gaat.
Als meer als de helft van de websites niet voldoet aan wat we kennen als "best practices"
en een zeer groot gedeelte onvoldoende van patches en updates is voorzien.
Als er ook nog een heleboel beveiliging domweg vergeten wordt omdat het niet past binnen het kosten plaatje.
Dan is het misschien wel vaak een wonder dat het nog zo lang goed blijft gaan.
We noemen even op om op te frissen: phishen, spammen, seo redirecten, cloaking, javascript malware, inline scripten, kwetsbare software vol met bekende en onbekende bugs, misconfiguraties (server, CMS), verkeerde instellingen, verkeerd ingestelde certificaten,omgekeerde encryptie (vanaf de zwakste kant geserveerd) CSP niet toegepast, XSS-DOM kwetsbaarheden op scripts zonder sri-hashes (tegen safe origin principe gezondigd), SGL injecties, DROWn kwetsbare servertjes die het hele areaal erboven aansteken. Alles afgezien van overige malware, crapware, adware, PUPs en andere meuk code.
Mag ik zo nog even doorgaan? Die het dagelijks zien, richten een blik op een php versie en php code naam en weten,
weer een website die elk moment gehacked en gedefaced kan worden. Noemen we nog server info proliferatie, onveilige http cookies, clickjacking, onveilige IDs tracking, en een hele rits aan zaken aan de kant, van de client, zoals daar zijn CanvasFingerprinting, Strict CSP niet afgedwongen, Stun server WebRTC lekken, WebGL niet uitgezet, etc. etc.
Nee, verder opnoemen dat doe ik niet, maar men heeft het inmiddels wel begrepen, denk ik.
Wat gaan we eraan doen met zijn allen? Tijd om even enerverend innovatief aan de slag te gaan
en tijd voor beveiligingseducatie! Ik doe in ieder geval mee. U ook?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.