mboost-dp1

Yahoo!

Yahoo afkræves svar efter hack af 500 millioner brugerkonti

- , indsendt af arne_v

Stats-støttede hackere har ifølge Yahoo haft held med at stjæle data fra en halv milliard brugerkonti – inklusiv navn, a-mailadresser, telefonnumre og sikkerhedsspørgsmål samt passwords i hashed form.

Hacket skete i slutningen af 2014.

Yahoo har informeret selskabets brugere, men meddelelsen og den generelle information om hacket åbner for flere spørgsmål.

Hvorfor gik der to år, før hacket blev opdaget? Og hvorfor gik der to måneder, fra dataen blev forsøgt solgt på The Dark Web, og til Yahoo reagerede? Yahoo har heller ikke forklaret, hvordan hacket kunne ske.

Brugeren, der solgte dataen, har tidligere solgt data fra MySpace og LinkedIn.

Endnu er der ingen melding om, hvornår Yahoo opdagede hacket. Samtidigt peger Jeremiah Grossman, der er it-sikkerhedsekspert ved SentinelOne, på, at stats-støttede hackere ikke har for vane at sælge dataen. Derfor mener han ikke, historien om stats-støtte holder vand. Grossman var indtil 2001 it-sikkerhedschef for Yahoos udviklerafdeling.

Derudover stiller sikkerhedseksperter overfor The Guardian spørgsmålstegn ved graden af kryptering på kodeord. De fleste er ‘hashed’ inklusiv en ‘salt’, der gør, at to ens kodeord stadig ser forskellige ud i hashed form. Men en mindre del af kodeordene var ikke krypteret på denne måde.

Et andet og mere økonomisk spørgsmål er, om hacket får konsekvenser for Verizons køb af Yahoo – en aftale, der blev indgået i slutningen af juli. Ifølge CNN kendte Verizon ikke til hacket før i denne uge. Her udtaler en tidligere it-sikkerhedsmedarbejder hos Yahoo sig også om, hvordan sikkerheden – ifølge kilden – blev nedprioriteret i årene op til hacket.





Gå til bund
Gravatar #1 - CBM
27. sep. 2016 04:44
Har yahoo holdt det hemmeligt siden 2014 eller?
Gravatar #2 - V3jby
27. sep. 2016 06:07
De har nok ikke en bruge på Newz så vi skal nok vente længe på svaret..
Gravatar #3 - CBM
27. sep. 2016 11:19
#2: :-)

---

Men ikke specielt smart at de ikke reagerede med det samme.

Gravatar #4 - moulder666
30. sep. 2016 06:26
CBM (1) skrev:
Har yahoo holdt det hemmeligt siden 2014 eller?


Det er vist ikke bevist. Som jeg har hørt det skete hacket i slut 2014, men Yahoo opdagede det først for et par måneder siden - og brugte så et par måneder før de gav besked om det.

Jeg har så selv en Yahoomail-konto - kopierer lige den mail ind, jeg har fået:

Kære Yahoo-bruger


Vi skriver til dig for at informere dig om et datasikkerhedsproblem, der kan omfatte dine Yahoo kontooplysninger.


Hvad er der sket?

En nylig undersøgelse udført af Yahoo har påvist, at der i slutningen af 2014 blev gennemført et tyveri visse brugeroplysninger fra vores systemer udført af, hvad vi mener er en statsstøttet aktør. Vi samarbejder tæt med politimyndighederne om denne sag, og vi udfører et omhyggeligt arbejde for at beskytte dig.


Hvilke oplysninger er omfattet af problemet?

De stjålne brugerkontooplysninger kan have omfattet navne, e-mailadresser, telefonnumre, fødselsdatoer, hash'ede adgangskoder (langt de fleste med bcrypt) og, i nogle tilfælde, krypterede eller ukrypterede sikkerhedsspørgsmål og -svar. Det er muligt, at ikke alle disse dataelementer har været til stede for din konto. Den igangværende efterforskning antyder, at de stjålne oplysninger ikke omfatter ubeskyttede adgangskoder, betalingskortoplysninger eller bankkontooplysninger. Betalingskortdata og bankkontooplysninger lagres ikke på det system, der ifølge efterforskningen er påvirket af problemet.


Hvad vi gør

Vi træffer foranstaltninger for at beskytte vores kunder: •Vi beder potentielt påvirkede brugere om straks at ændre deres adgangskoder og benytte andre metoder til bekræftelse af konti.
•Vi har gjort ukrypterede sikkerhedsspørgsmål og -svar ugyldige, så de ikke kan bruges som adgangsmulighed til en konto.
•Vi anbefaler, at alle brugere, der ikke har ændret adgangskode siden 2014, gør dette nu.
•Vi fortsætter med at forbedre vores systemer og registrere og forebygge uautoriseret adgang til brugerkonti.
•Vi har et tæt samarbejde med politiet om dette problem.

Vi har udføret en fortsat efterforskning af denne sag.


Hvad du kan gøre

Vi opfordrer dig til at følge disse sikkerhedsanbefalinger: •Find en ny adgangskode, og skift sikkerhedsspørgsmål og -svar for eventuelle andre konti, hvor du har brugt samme eller lignende oplysninger som til din Yahoo konto.
•Gennemgå din konto for mistænkelig aktivitet.
•Vær forsigtig med eventuelle uopfordrede meddelelser, hvor du bliver bedt om personlige oplysninger eller viderestillet til en webside, hvor du skal udfylde personlige oplysninger.
•Undgå at klikke på links eller downloade vedhæftede filer fra mistænkelige e-mails.

Desuden vil vi bede dig overveje at bruge Yahoo kontonøgle, der er et nemt godkendelsesværktøj, der gør adgangskoder helt overflødige.


Specielt det sidste afsnit kan jeg godt more mig lidt over - i har brugt 2 år på at finde en sikkerhedsbrist og 2 måneder på at fortælle mig om det efter i har fundet det - og så forventer i, at jeg skal overlade mine adgangskoder til jer???
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login