Egymilliárd Yahoo-felhasználó adatait lopták el
Nem találja a nyomait a Yahoo a behatolásnak, de a kinyert adatok igazolják - lopás történt. Gyengén védett jelszavak, nevek, születési adatok a kinyert adatbázisban.
Újabb elképesztő méretű adatlopás áldozata a Yahoo. A cég közlése szerint akár egymilliárd különböző felhasználói fiók adatait is ellophatták a támadók, ezzel a cég köröket ver korábbi masszív adatszivárgására, a korábban rekorder 500 millió Yahoo-felhasználót érintett. A cég közlése szerint ez a nagyobb, milliárdos adatlopás időben korábbi, erre még 2013 augusztusában kerülhetett sor az eddigi információk alapján. A cég számítógépes rendszerében hagyott nyomokat a Yahoo mérnökei és külsős cégek együtt vizsgálják, egyelőre azonban nem találták meg a behatolás jeleit a naplófájlokban.
Egészen abszurd, hogy a Yahoo a támadás tényére is csak a rendvédelmi szervek jelzése alapján figyelt fel. A hatóság ugyanis olyan adatbázisokat szerzett meg a feketepiacon, amelyekről az értékesítők azt állították, a Yahoo-tól származnak. Az adatbázis és a Yahoo biztonsági mentéseinek összevetéséből kiderült, hogy ez a korábban bejelentett 2014-es adatlopásnál korábbi adatokat tartalmaz, és valószínűleg egy másik, attól független támadás során került ki a cégtől.
A "nyertesek" ilyen levelet olvashatnak ma a Yahoo-tól.
Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.
A kikerült adatok között a regisztrációnál használt név, email cím, telefonszám, születési dátum, gyengén (MD5-tel) hash-elt jelszavak, és bizonyos esetekben titkosított és titkosítatlan biztonsági kérdések szerepelnek. Minimális vigasz, hogy sima szövegként tárolt jelszavak nem voltak az adatlopás részei - ennél azonban az MD5 csak egy árnyalatnyival számít jobbnak (a cég 2013 nyarán kezdte el a sokkal erősebb bcrypt bevezetését). Pénzügyi adatokat, bankkártya-adatokat nem vittek a támadók.
Tovább is van, mondjam még?
A rossz híreknek ezzel még nincs vége. A Yahoo "már korábban közölte", hogy vizsgál egy különleges, hamisított sütiket (cookie-kat) használó támadást, amellyel támadók jelszó nélkül is hozzáférhettek a felhasználói fiókokhoz. Ez rögtön szöget ütött az újságírók és biztonsági szakértők fejébe, ilyen közlésről ugyanis nem tudtunk - némi kereséssel viszont kiderült, hogy az amerikai tőzsdefelügyelethez eljuttatott 84 oldalas pénzügyi jelentésben rejtette el ezt az információt a cég.
"A folyó vizsgálat alapján úgy hisszük, hogy egy jogosulatlan fél hozzáfért a forráskódhoz, és ebből szerzett információt a cookie-hamisításhoz." A cég külön kiértesíti az érintetteket, a hamisított sütiket pedig érvényteleníti. A támadást egyébként állami szereplőhöz köti a Yahoo - ugyanahhoz, amely a 2014-es adatlopást is végrehajtotta.
Nem tűnt lehetségesnek a félmilliárdos adatlopás után, de a Yahoo most újra alulmúlta magát az informatikai biztonságot tekintve. Egyrészt nemrég kiderült, hogy a cég alkalmazottai régen, 2014-ben is tudtak a 2014-es adatlopásról, arról azonban a cég egészen idén szeptemberig nem értesítette erről a felhasználókat. Ez felelőtlen lépés, hiszen az információ hiányában a felhasználók védekezni sem tudtak (jelszócsere, stb.) ezzel a cég komoly veszélybe sodorta a őket.
A hivatalos közleményt itt lehet olvasni.