Advertentie

Webgigant Yahoo heeft te maken gehad met een enorm datalek. De inbreuk, die plaatsvond in 2014, resulteerde in de informatie van 500 miljoen Yahoo-gebruikers te koop aangeboden op het dark web 10 weinig bekende hoeken van het deep web die je misschien wel leuk vindtHet dark web heeft een slechte reputatie, maar er zijn enkele echt nuttige dark-websites die u misschien wilt bezoeken. Lees verder .

Beeldcredits: Ken Wolter via Shutterstock.com
Beeldcredits: Ken Wolter via Shutterstock.com

De omvang van de diefstal maakt andere recente, grote datalekken in de schaduw en plaatst de beveiligingspraktijken bij Yahoo stevig in de schijnwerpers.

Wat is er geschonden?

Yahoo heeft een verklaring afgelegd het bevestigen en gedetailleerd maken van de inbreuk op de beveiliging, met de bewering dat de gegevens zijn gestolen door "door de staat gesponsorde" hackers. Informatie, waaronder namen, e-mailadressen, telefoonnummers en beveiligingsvragen, werd in 2014 van het bedrijf gestolen.

“Een recent onderzoek door Yahoo heeft bevestigd dat eind 2014 een kopie van bepaalde gebruikersaccountgegevens uit ons netwerk is gestolen door wat volgens ons een door de staat gesponsorde actor is. We werken nauw samen met wetshandhavingsinstanties en brengen potentieel getroffen gebruikers op de hoogte van manieren waarop ze hun accounts verder kunnen beveiligen. "

instagram viewer

Een klein positief punt komt in de wetenschap dat de inbreuk geen 'onbeschermde wachtwoorden, betaalkaartgegevens of bankrekeninggegevens' bevatte. Niettemin, de verklaringen van Yahoo zullen verdere vragen oproepen van beveiligingsonderzoekers over de tijdlijn van de gebeurtenissen en over de acties van het bedrijf in de dagen na de breuk.

BREAKING: 500 miljoen #Yahoo Accounts aangetast in 2014 Hack. Ander schokkend nieuws: 500 miljoen mensen hebben Yahoo-accounts.

- Ben Canner (@InfoSec_Review) 22 september 2016

Belangrijke vragen stellen

Bovenop veel beveiligingsonderzoekers zal de lijst met vragen eenvoudigweg 'waarom duurde het zo lang om een ​​hack te bevestigen Waarom bedrijven schendingen geheim houden, kan een goede zaak zijnMet zoveel informatie online, maken we ons allemaal zorgen over mogelijke inbreuken op de beveiliging. Maar deze inbreuken kunnen in de VS geheim worden gehouden om u te beschermen. Het klinkt gek, dus wat is er aan de hand? Lees verder van deze schaal? ' Dit gaat ook gemakkelijk over in andere vragen. Waarom duurde het zo lang voordat Yahoo zijn gebruikers op de hoogte bracht van de inbreuk?

Yahoo verstuurt nu inbreukmeldingen naar klanten: pic.twitter.com/AjbDJYQCIH

- Troy Hunt (@troyhunt) 23 september 2016

Het idee van een door de staat gesponsorde aanval is ook raadselachtig. Tot dusver heeft Yahoo geen enkel bewijs geleverd dat de inbreuk in verband brengt met een nationale actor, hoewel drie Amerikaanse inlichtingenfunctionarissen - die weigerden bij naam te worden geïdentificeerd - bevestigd aan Reuters:

"... ze geloofden dat de aanval door de staat werd gesponsord vanwege de gelijkenis met eerdere hacks die werden herleid tot Russische inlichtingendiensten of hackers die op hun aanwijzingen handelden."

Zelfs als de inbreuk gelijkenis vertoonden met eerdere aanvallen van natiestaten Wanneer regeringen aanvallen: Nation-State Malware blootgesteldEr vindt momenteel een cyberoorlog plaats, verborgen door het internet, waarvan de resultaten zelden worden waargenomen. Maar wie zijn de spelers in dit oorlogstheater en wat zijn hun wapens? Lees verder , leiden deze inbreuken doorgaans niet tot het vrijgeven van persoonlijke gebruikersgegevens. Zeldzamer vindt ze nog steeds referenties geadverteerd voor verkoop op het dark web Hier is hoeveel uw identiteit waard zou kunnen zijn op het Dark WebHet is ongemakkelijk om jezelf als handelswaar te beschouwen, maar al je persoonlijke gegevens, van naam en adres tot bankrekeninggegevens, zijn iets waard voor online criminelen. Hoeveel ben je waard? Lees verder .

Nog meer intriges toevoegen is de identiteit van het individuele verkoopgedeelte van het datalek. Een gebruiker genaamd "Peace of Mind", die ook datadumps van de MySpace- en LinkedIn-inbreuken had verkocht, prees actief de gegevens.

hacker
Image Credit: adike via Shutterstock

Jeremiah Grossman, hoofd beveiligingsstrategie bij SentinelOne, zei "Hoewel we weten dat de informatie eind 2014 is gestolen, hebben we geen indicatie wanneer Yahoo voor het eerst hoorde over deze inbreuk. Dit is een belangrijk detail in het verhaal. '

Grossman is van mening dat aangezien Peace of Mind een "profiteer-hacker" was, het zeer onwaarschijnlijk zou zijn dat zij door de staat zouden zijn gesponsord; bijgevolg "dit betekent dat het mogelijk is dat we kijken naar twee verschillende Yahoo-inbreuken met twee verschillende hackgroepen in hun systeem."

"Het enorme aantal mensen dat door deze cyberaanval wordt getroffen, is verbluffend en laat zien hoe ernstig de gevolgen van een beveiligingshack kunnen zijn... We weet nog niet alle details over hoe deze hack is gebeurd, maar er is een ontnuchterende en belangrijke boodschap voor bedrijven die persoonlijke informatie verwerven en afhandelen gegevens. De persoonlijke informatie van mensen moet veilig worden beschermd achter slot en grendel - en die sleutel moet voor hackers onmogelijk te vinden zijn. " - Verenigd Koninkrijk Informatiecommissaris Elizabeth Denham

Hoe ernstig is dit?

De verklaring van Yahoo bevestigde dat de overgrote meerderheid van gestolen wachtwoorden met bcrypt is gehasht. Hashing is het proces waarbij een wachtwoord wordt omgezet in een 'vingerafdruk' van vaste lengte die wordt opgeroepen en gecontroleerd wanneer een gebruiker probeert in te loggen. Het is een basismethode om gebruikersinformatie te beschermen Elke beveiligde website doet dit met uw wachtwoordHeeft u zich ooit afgevraagd hoe websites uw wachtwoord beschermen tegen datalekken? Lees verder , toch is nog steeds over het hoofd gezien door sommige websites De 7 meest gebruikte tactieken om wachtwoorden te hackenWat komt er in je op als je 'inbreuk op de beveiliging' hoort? Een kwaadwillende hacker? Een kind in de kelder? De realiteit is dat alles wat nodig is een wachtwoord is, en hackers hebben 7 manieren om die van jou te krijgen. Lees verder .

Bcrypt wordt beschouwd als een veilige manier van hashen als de hashes zijn ook "gezouten", Hoe houden websites uw wachtwoorden veilig?Nu er regelmatig online inbreuken op de beveiliging worden gemeld, maakt u zich ongetwijfeld zorgen over hoe websites voor uw wachtwoord zorgen. Voor gemoedsrust is dit iets dat iedereen moet weten ... Lees verder een proces waarbij elke hash anders zal zijn, zelfs als het hetzelfde wachtwoord beschermt.

Wachtwoorden zijn irritant maar gemakkelijk te wijzigen; de meisjesnaam van een moeder is dat niet. Hackers schonden ook beveiligingsvragen in leesbare tekst. Beveiligingsvragen worden al lang onder de loep genomen Hoe u een beveiligingsvraag kunt maken die niemand anders kan radenDe afgelopen weken heb ik veel geschreven over hoe je online accounts herstelbaar kunt maken. Een typische beveiligingsoptie is het opzetten van een beveiligingsvraag. Hoewel dit mogelijk een snelle en gemakkelijke manier biedt om ... Lees verder vanwege hun rol bij het identificeren van gebruikersaccounts bij eerdere inbreuken, maar ze vormen nog steeds een primair kenmerk van de meeste aanmeldingssystemen voor gebruikersaccounts.

Dienovereenkomstig heeft Yahoo al hun gebruikers een wachtwoordherstelbericht gestuurd. Ze moedigen hun gebruikers aan om:

  • Wijzig uw wachtwoord en beveiligingsvragen en antwoorden voor andere accounts waarvoor u dezelfde of vergelijkbare gegevens gebruikt als die voor uw Yahoo-account.
  • Controleer uw accounts op verdachte activiteiten.
  • Wees voorzichtig met ongevraagde communicatie die om uw persoonlijke informatie vraagt ​​of u doorverwijst naar een webpagina waarin om persoonlijke informatie wordt gevraagd.
  • Klik niet op links en download geen bijlagen van verdachte e-mails.

We kunnen de eerste suggestie niet genoeg benadrukken. We raden onze lezers ook aan om andere sites te overwegen waarmee ze mogelijk hun inloggegevens hebben gebruikt, zoals fotoopslagservice Flickr of sociale bookmarking-site Del.icio.us.

Mogelijk hebt u een Yahoo-account gemaakt zonder te beseffen dat deze onveilig was.

Een grote oude breuk

Yahoo nu neemt een ongewenste kroon Wat u moet weten over het enorme lekken van LinkedIn-accountsEen hacker verkoopt 117 miljoen gehackte LinkedIn-inloggegevens op het Dark web voor ongeveer $ 2.200 in Bitcoin. Kevin Shabazi, CEO en oprichter van LogMeOnce, helpt ons te begrijpen wat er risico loopt. Lees verder : het grootste bedrijfsinbreuk in de geschiedenis.

  • Yahoo - 500 miljoen gebruikersgegevens
  • MySpace - 359m
  • LinkedIn - 164m
  • Adobe - 152m
  • Badoo - 112 m

In juli 2016 deed de Amerikaanse telecommunicatiegigant Verizon de overname van $ 5 miljard van Yahoo's internetbedrijf. Deze overtreding heeft naar verwachting echter geen invloed op de overname.

Verizon-verklaring vanmiddag over het beveiligingsincident van Yahoo. $ VZpic.twitter.com/KQTnyrjlJy

- Bob Varettoni (@bvar) 22 september 2016

Ons advies blijft hetzelfde als bij elk groot datalek. Stel uw wachtwoorden opnieuw in. Bekijk ook uw e-mails en sms-berichten de komende weken en maanden zorgvuldig. Onthoud om hergebruik nooit uw accountgegevens.

Referentie hergebruik; niet een keer.

Is uw account gehackt? Ben je verbaasd over hoe lang Yahoo nodig had om te handelen? Welke grote service wordt hierna geschonden? Laat ons hieronder uw mening weten!

Gavin is Senior Writer voor MUO. Hij is ook de redacteur en SEO-manager voor MakeUseOf's crypto-gerichte zustersite, Blocks Decoded. Hij heeft een BA (Hons) Contemporary Writing with Digital Art Practices geplunderd uit de heuvels van Devon, evenals meer dan een decennium aan professionele schrijfervaring. Hij houdt van veel thee.