Delen:
Yahoo! We hebben uw gegevens verloren! Twee jaar geleden…
Webgigant Yahoo heeft een enorme datalek opgelopen. De breuk, die plaatsvond in 2014, resulteerde in de informatie van 500 miljoen Yahoo gebruikers die te koop werden aangeboden op het donkere web. 6 Little-Known Corners Of The Deep Web Je zou eigenlijk 6 weinig bekende hoeken van het diepe web kunnen bevallen Eigenlijk zoals Het deep web heeft een slechte reputatie - zo ongeveer alles wat je kunt bedenken is daar beschikbaar. Maar er zijn ook enkele geweldige dingen die u misschien wilt bekijken. Lees verder .
De schaal van de diefstal doet andere recente, grote datalekken in de schaduw staan en plaatst de beveiligingspraktijken bij Yahoo stevig onder de aandacht.
Wat is overtreden?
Yahoo heeft een verklaring uitgegeven waarin de inbreuk op de beveiliging wordt bevestigd en gedetailleerd, met de bewering dat de gegevens zijn gestolen “De staat gesponsorde” hackers. Informatie, waaronder namen, e-mailadressen, telefoonnummers en beveiligingsvragen werden in 2014 gestolen van het bedrijf.
“Een recent onderzoek door Yahoo heeft bevestigd dat eind 2014 een kopie van bepaalde gebruikersaccountgegevens uit ons netwerk is gestolen door wat wij geloven dat een door de staat gesponsorde actor is. We werken nauw samen met wetshandhavingsautoriteiten en stellen potentiële gebruikers op de hoogte van manieren waarop ze hun accounts verder kunnen beveiligen.”
Een klein positief punt komt in de wetenschap dat de schending niet bevatte “onbeveiligde wachtwoorden, creditcardgegevens of bankrekeninggegevens.” Desalniettemin zullen de verklaringen van Yahoo verdere vragen van beveiligingsonderzoekers naar voren brengen over de tijdlijn van gebeurtenissen, evenals de acties van het bedrijf in de dagen na de schending.
BREEKBAAR: 500 miljoen #Yahoo-accounts zijn in 2014 gecompromitteerd. Hack. In ander schokkend nieuws hebben 500 miljoen mensen Yahoo-accounts.
- Ben Canner (@InfoSec_Review) 22 september 2016
Belangrijke vragen opwerpen
Sterk boven op veel beveiligingsonderzoekers zal de lijst van vragen eenvoudig zijn “waarom duurde het zo lang om een hack te bevestigen Waarom bedrijven een geheim houden overtroffen, kan een goede zaak zijn Waarom bedrijven een goed geheim houden, kan een goede zaak zijn Met zoveel informatie online, maken we ons allemaal zorgen over mogelijke beveiligingsinbreuken. Maar deze overtredingen kunnen geheim worden gehouden in de VS om u te beschermen. Het klinkt gek, dus wat is er aan de hand? Lees meer van deze schaal?” Dit gaat ook gemakkelijk over in andere vragen. Waarom duurde het zo lang voordat Yahoo zijn gebruikers op de hoogte bracht van de schending?
Yahoo verzendt nu meldingen wegens inbreuk op klanten: pic.twitter.com/AjbDJYQCIH
- Troy Hunt (@troyhunt) 23 september, 2016
Het idee van een door de staat gesponsorde aanval is ook een raadsel. Tot nu toe heeft Yahoo geen enkel bewijs geproduceerd dat de overtreding koppelt aan een acteur van een nationale staat, hoewel drie Amerikaanse inlichtingenfunctionarissen - die weigerden te identificeren met naam - aan Reuters bevestigden:
“... zij geloofden dat de aanval door de staat werd gesponsord vanwege de gelijkenis met eerdere hacks naar Russische inlichtingendiensten of hackers die in hun richting handelden.”
Zelfs als de breuk gelijkenis vertoonde met eerdere nationale aanvallen Toen regeringen aanvielen: natie-staat Malware blootgelegd toen regeringen aanvielen: natie-staat Malware blootgelegd Een cyberwar vindt momenteel plaats, verborgen door internet, de resultaten worden zelden opgemerkt. Maar wie zijn de spelers in dit oorlogstheater en wat zijn hun wapens? Meer lezen, deze schendingen resulteren meestal niet in het vrijgeven van persoonlijke gebruikersgegevens. Nog zeldzamer is het vinden van die referenties die te koop worden aangeboden op het donkere web. Hier is hoeveel je identiteit op het duistere web waard kan zijn. Hier is hoeveel je identiteit waard kan zijn op het donkere web. Het is ongemakkelijk om jezelf als een commodity te zien, maar alle uw persoonlijke gegevens, van naam en adres tot bankrekeninggegevens, zijn iets waard voor online criminelen. Hoeveel ben je waard? Lees verder .
Het toevoegen van verdere intriges is de identiteit van het individuele verkoopdeel van de datalek. Een gebruiker met de naam “Gemoedsrust,” die ook datadumps van de MySpace- en LinkedIn-inbreuken had verkocht, was actief bezig met het verzamelen van de gegevens.
Jeremia Grossman, hoofd veiligheidsstrategie bij SentinelOne, zei “Hoewel we weten dat de informatie eind 2014 is gestolen, hebben we geen enkele indicatie over wanneer Yahoo voor het eerst over deze schending hoorde. Dit is een belangrijk detail in het verhaal.”
Grossman gelooft dat Peace of Mind een was “winstgevend hacker” ze zouden hoogstwaarschijnlijk geen staatssponsoring hebben ontvangen; bijgevolg, “dit betekent dat het mogelijk is dat we twee verschillende Yahoo-inbreuken bekijken met twee verschillende hackgroepen in hun systeem.”
“Het enorme aantal mensen dat getroffen is door deze cyberaanval is verbijsterend en laat zien hoe ernstig de gevolgen van een beveiligingshack kunnen zijn ... We weten nog niet alle details over hoe deze hack is gebeurd, maar er is een ontnuchterende en belangrijke boodschap hier voor bedrijven die persoonlijke gegevens verzamelen en verwerken. Persoonlijke gegevens van mensen moeten veilig worden beveiligd met slot en grendel - en die sleutel moet voor hackers onmogelijk te vinden zijn.” - Informatiecommissaris van het Verenigd Koninkrijk, Elizabeth Denham
Hoe ernstig is dit?
De verklaring van Yahoo bevestigde dat de overgrote meerderheid van gestolen wachtwoorden hashed was met behulp van bcrypt. Hashing is het proces waarbij een wachtwoord op een vaste lengte wordt omgezet “vingerafdruk” die wordt opgeroepen en gecontroleerd wanneer een gebruiker probeert in te loggen. Het is een basismethode om gebruikersinformatie te beschermen Elke beveiligde website doet dit met uw wachtwoord Elke beveiligde website doet dit met uw wachtwoord Hebt u zich ooit afgevraagd hoe websites uw wachtwoord beveiligen tegen gegevensinbreuken? Meer lezen, maar wordt nog steeds over het hoofd gezien door sommige websites De 7 meest voorkomende tactieken die worden gebruikt om wachtwoorden te hacken De 7 meest voorkomende tactieken die worden gebruikt om wachtwoorden te hacken Wanneer u "inbreuk op de beveiliging" hoort, wat komt u dan voor de geest? Een kwaadwillende hacker? Een kind dat in de kelder woont? De realiteit is dat er alleen een wachtwoord nodig is en hackers 7 manieren om de jouwe te krijgen. Lees verder .
Bcrypt wordt beschouwd als een veilige hashing-methode, net als de hashes “gezouten,” Hoe houden websites uw wachtwoorden veilig? Hoe houden websites uw wachtwoorden veilig? Met regelmatige online geconstateerde beveiligingslekken maakt u zich ongetwijfeld zorgen over de manier waarop websites voor uw wachtwoord zorgen. In feite is dit voor alle gemoedsrust iets dat iedereen moet weten ... Lees meer een proces waarbij elke hash anders zal zijn, zelfs als het hetzelfde wachtwoord beschermt.
Wachtwoorden zijn irritant maar eenvoudig te veranderen; de meisjesnaam van een moeder is dat niet. Hackers hebben ook beveiligingsvragen over plain text doorbroken. Beveiligingsvragen komen al lang onder de loep Hoe maak je een beveiligingsvraag dat niemand anders kan raden hoe je een beveiligingsvraag kunt stellen die niemand anders kan raden De afgelopen weken heb ik veel geschreven over het herstelbaar maken van online accounts. Een standaard beveiligingsoptie is het instellen van een beveiligingsvraag. Hoewel dit mogelijk een snelle en gemakkelijke manier is om ... Lees meer te gebruiken voor hun rol bij het identificeren van gebruikersaccounts in eerdere inbreuken, maar toch vormen ze nog steeds een primaire functie van de meeste aanmeldsystemen voor gebruikersaccounts..
Dienovereenkomstig heeft Yahoo al zijn gebruikers een bericht gestuurd om het wachtwoord opnieuw in te stellen. Ze moedigen hun gebruikers aan om:
- Wijzig uw wachtwoord- en beveiligingsvragen en -antwoorden voor andere accounts waarop u dezelfde of soortgelijke referenties gebruikt als die gebruikt voor uw Yahoo-account.
- Controleer uw accounts op verdachte activiteiten.
- Wees voorzichtig met ongevraagde berichten die om uw persoonlijke gegevens vragen of verwijs u naar een webpagina die om persoonlijke informatie vraagt.
- Vermijd het klikken op links of het downloaden van bijlagen van verdachte e-mails.
We kunnen de eerste suggestie niet genoeg benadrukken. We raden onze lezers ook aan andere sites te overwegen waar ze hun aanmeldingsreferenties hebben gebruikt, zoals Flickr voor fotoopslag of site voor sociale bladwijzers Del.icio.us.
Je hebt misschien een Yahoo-account gemaakt zonder je te realiseren dat het onveilig was.
Een grote oude breuk
Yahoo neemt nu een ongewenste kroon Wat u moet weten over de enorme LinkedIn-accounts Lekken Wat u moet weten over de enorme LinkedIn-accounts Lek Een hacker verkoopt 117 miljoen gehackte LinkedIn-referenties op het Dark-web voor ongeveer $ 2200 in Bitcoin. Kevin Shabazi, CEO en oprichter van LogMeOnce, helpt ons te begrijpen wat er precies dreigt. Lees meer: de grootste inbreuk op bedrijfsgegevens in de geschiedenis.
- Yahoo - 500 miljoen gebruikersreferenties
- MySpace - 359m
- LinkedIn - 164m
- Adobe - 152m
- Badoo - 112m
In juli 2016 maakte de Amerikaanse telecommunicatie-gigant Verizon de overname van het internetbedrijf van Yahoo van $ 5 miljard. Hoewel deze overtreding naar verwachting geen invloed zal hebben op de overname.
Verizon verklaring vanmiddag met betrekking tot Yahoo veiligheidsincident. $ VZ pic.twitter.com/KQTnyrjlJy
- Bob Varettoni (@bvar) 22 september, 2016
Ons advies blijft hetzelfde als bij elke ernstige inbreuk op de gegevens. Stel uw wachtwoorden opnieuw in. Bekijk ook uw e-mails en sms-berichten de komende weken en maanden. Onthoud om Gebruik nooit uw accountgegevens opnieuw.
Hergebruik van documenten; niet een keer.
Is uw account gehackt? Ben je verrast hoe lang het duurde voordat Yahoo aan de beurt was? Welke grote service zal hierna worden geschonden? Laat ons hieronder uw mening weten!
Ontdek meer over: Hacking, online beveiliging, wachtwoord.