Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 52 reacties, 17.920 views •

Een hacker die eerder verantwoordelijk zou zijn voor een inbraak op systemen van Adobe, claimt dat hij volledige toegang heeft verkregen tot zeker twee servers en domeinen van Yahoo. De aanvaller stelt dat Yahoo niet heeft gereageerd op eerdere waarschuwingen.

De aanvaller, die opereert onder het alias ViruS_HimA en uit Egypte afkomstig zou zijn, stelt diverse servers van Yahoo te hebben gekraakt. Zo zou hij een 'volledige backup' hebben kunnen maken van een domein dat in handen is van Yahoo. In een screenshot, dat afkomstig zou zijn van de betreffende server, is een configuratiebestand te zien waarin inloggegevens voor een MySQL-database staan. Naast toegang tot bestanden op een server claimt de hacker ook dat hij in totaal twaalf databases van Yahoo kon benaderen.

Om toegang te krijgen tot de Yahoo-servers zou ViruS_HimA gebruik hebben gemaakt van xss-aanvallen en sql-injecties. De hacker stelt dat hij Yahoo al enige tijd geleden op de hoogste heeft gesteld van de gaten in zijn systemen maar dat het bedrijf hier niet op heeft gereageerd. De aanvaller zegt daarop te hebben besloten om bewijsmateriaal te publiceren. Verder claimt de hacker dat hij geen persoonsgegevens zal publiceren.

De hacker claimt dat hij al diverse grote internetbedrijven heeft gewezen op kwetsbaarheden, waaronder Apple, Facebook, Google en Microsoft, zo schrijft The Next Web. Ook zou hij eerder dit jaar Adobe hebben gewaarschuwd voor kwetsbare systemen, maar toen ook dit bedrijf geen actie zou hebben ondernomen besloot de aanvaller gegevens van Adobe-klanten te publiceren. Adobe besloot kort na de publicatie de website enige tijd offline te halen.

Yahoo-server

Reacties (52)

Reactiefilter:-152047+137+23+30
Moderatie-faq Wijzig weergave
laat iedereen toch van elkaars spullen afblijven.
het blijven gewoon criminelen in mijn ogen.

Ik ga toch ook niet bij de buurman inbreken om te kijken of hij het raam wel goed dicht heeft?
En dan gaan zwaaien met een comic sans briefje en zeggen .. goh buurman mooie kleding kast maar hij stond wel open .. foei zeg en ik had het nog zo gezegd dat die dicht moest
Want op een of andere mannier moet ik mij wel ergeren aan jouw kast die open staat
nu heb ik je ondergoed gezien , maar wees gerust de buurt zal niet weten welk motiefje er in de kast hangt.
laat iedereen toch van elkaars spullen afblijven.
het blijven gewoon criminelen in mijn ogen.

Ik ga toch ook niet bij de buurman inbreken om te kijken of hij het raam wel goed dicht heeft?
En dan gaan zwaaien met een comic sans briefje en zeggen .. goh buurman mooie kleding kast maar hij stond wel open .. foei zeg en ik had het nog zo gezegd dat die dicht moest
Want op een of andere mannier moet ik mij wel ergeren aan jouw kast die open staat
nu heb ik je ondergoed gezien , maar wees gerust de buurt zal niet weten welk motiefje er in de kast hangt.
Dit is eerder het equivalent van een briefje in de bus doen bij je buurman om te laten weten dat het slot van zijn voordeur niet goed werkt terwijl algemeen bekend is dat hij de belastingaangifte van de halve wijk voor zijn rekening neemt ofzo...en vervolgens als hij er niets aan doet een kopie nemen van een van de ingevulde formulieren met de gevoelige informatie er uitgecensureerd. De persoon die mij een goed beargumenteerde reden kan geven waarom bedrijven die met persoonsgegevens omgaan hun zaken aangaande beveiliging niet in orde hoeven te hebben ben ik nog niet tegengekomen.

De activiteiten van zulke hackers zijn misschien twijfelachtig, maar om de vergelijking door te trekken, ik heb liever dat mijn buurman me er vriendelijk op wijst dat het slot op mijn voordeur niet zo best meer is, dan dat ik thuiskom en mijn hele huisraad meegenomen is...
In dit geval ga je via een niet helemaal gesloten raam naar binnen om de voordeur van het slot te halen..
En iemand die vergeet zijn door op slot te doen heeft nog steeds geen toestemming gegeven dat ieder wild vreemde zomaar even naar binnen mag gaan om te kijken of je slot wel deugd.
vergelijking tussen buurman en een bedrijf die miljoenen persoonsgegevens heeft, en ook nog op de beurs mee doet


wat deze persoon heeft gedaan is gewoon Yahoo er even op wijzen dat de beveiliging niet helemaal lekker is, voor hetzelfde geld had deze persoon kwaad in de zin en had je een groter probleem, want dat soort volk heeft er schijt aan dat het niet mag
Ik kan mij voorstellen dat als je dagelijks tientallen van dit soort claims ontvangt, het niet te doen is om deze allemaal direct te checken. Da's ook een manier om een IT afdeling lekker af te leiden en bezig te houden. Information overflow, zullen we het maar noemen.
Ik kan mij voorstellen dat als je dagelijks tientallen van dit soort claims ontvangt, het niet te doen is om deze allemaal direct te checken. Da's ook een manier om een IT afdeling lekker af te leiden en bezig te houden. Information overflow, zullen we het maar noemen.
Sorry hoor maar als je dagelijks tientallen claims van dergelijke aard ontvangt dan is dat een gegronde reden om je systemen eens grondig door te lichten. We hebben het hier niet over de bakker om de hoek, dit bedrijf is met persoonsgegevens in de weer!
Ik vraag mij af hoe snel deze hacker wordt opgepakt. Al ben ik blij dat hij gaten aantoont in beveiliging, hoop ik dat wat hij publiceert zodanig is gecensureerd dat klanten van deze bedrijven er niet onder lijden.
Het is nu al bekend dat Yahoo vatbaar is voor XSS en SQL injections. Waarschijnlijk is nu een leger aan script kiddies bezig de servers van Yahoo aan te vallen..

Misschien dat Yahoo zonder feedback aan de hacker de problemen al heeft opgelost, maar als dat niet zo is, dan kunnen er nadelige gevolgen zijn voor (enkele) klanten van Yahoo.

De servers van Yahoo, Google en Microsoft worden natuurlijk continue aangevallen middels pogingen van XSS en SQL injections. Maar dan 'hoopt' men een zwakke plek te kunnen vinden, nu weet men dat er een zwakke plek is en zal men veel meer moeite doen om binnen te komen, dan als men niet op de hoogte is van de zwakke plek..

Maar Yahoo heeft zo te zien wel meer zwakke plekken. Zo delen de news en feedback onderdelen hetzelfde 'yahoo' account. Dat betekend dat als je de feedback server weer te hacken, je ook automatisch bij nieuws en waarschijnlijk andere onderdelen kan komen.

Ik snap dat echt niet van bedrijveen. Wel de website partitioneren in verschillende modules, maar dat dan weer niet doortrekken naar de database.

Elke welke DBA staat toe dat er dan een algemene username als 'yahoo' gebruikt mag worden? Een credential bestaat uit een username en een wachtwoord. Als ik de username kan raden, dan is een bruteforce password attack niet meer zo moeilijk..
Behalve dat je hoogstwaarschijnlijk überhaupt niet bij de database kunt van buitenaf.

Meestal kun je vanaf buiten alleen bij de website en kan de website zelf weer bij de database. De website software logt dan dus in op de database en voert de queries voor je uit en toont de resultaten in een HTML pagina.

Het mooist zou het inderdaad zijn als de website hiervoor niet één generieke account zou gebruiken met (vrijwel) alle rechten, maar er per website gebruiker een database account zou zijn met slechts gelimiteerde permissies op basis van wat die ene account mag, maar in de praktijk gebeurt dit slechts uiterst zelden. Ik heb zo'n inrichting nog nooit in de praktijk gebruikt zien worden terwijl ik toch al meer dan 10 jaar als web developer werk. Alle CMS en die ik ken gebruiken gewoon één database account met één gebruikersnaam en wachtwoord, en die staan vrijwel altijd ergens in een configuratie / script bestandje in een afgeschermde map van de webserver.
waarom zou hij opgepakt moeten worden als hij geen persoonsgegevens heeft gepubliceerd?
Omdat het inbreken in computer systemen op zichzelf al een misdrijf is?
Hier in nl is dat meschien strafbaar, maar of dit in egypte ook zo is?
misschien, en in egypte .. nee ;-) niet strafbaar
Het proberen ertoe ook, maar laat dat nou net een heikel punt in de wet zijn, want ga je diegene die je er op wijst dat je systeem niet veilig is (ZONDER persoonsgegevens/afpersing enzo) ook vervolgen? Dan weet je 100% dat niemand ooit nog lekken gaat aangeven.
Dan moet die Yahoo informeren en niet de media.
Tegen alle mensen die zeggen dat deze hacker slecht bezig is:
Dit soort mensen zorgt ervoor dat jouw gegevens veilig blijven, niet andersom.
"Ook zou hij eerder dit jaar Adobe hebben gewaarschuwd voor kwetsbare systemen, maar toen ook dit bedrijf geen actie zou hebben ondernomen besloot de aanvaller gegevens van Adobe-klanten te publiceren."

Dat is dus niet het geval, dan publiceren ze het zelf ... dus nog even onveilig.
Blijf gewoon van andermans spullen af dan hebben we niet eens beveiliging nodig!
Dus jij zet ook je fiets niet meer op slot? Blijf gewoon van mijn fiets af, hoeft die ook niet op slot. Zo werkt de wereld helaas niet.
Zover ik kan nagaan, pleegt deze hacker een (overigens internationale) misdaad, alhoewel met goede bedoelingen. Het blijft natuurlijk af te keuren, maar aan de andere kant kan ik begrijpen waarom hij deze actie heeft gedaan. Moge een eventuele aanklacht uitblijven, en anders, dat de rechter hierin een rechtmatig oordeel over kan vellen aan de hand van wettelijk correct verkregen bewijsmateriaal.

Zelf kan ik hier niet over oordelen, daar 1. mijn kennis niet toereikend is, 2. er niet zoveel publiekelijk bekend is gemaakt en 3. ik geen rechter ben.
Deze persoon zou onder de nederlanse wet inderdaad computervredebreuk gepleegd en dat zou hem hier een straf van maximaal 1 jaar of een boete betekenen, tenzij hij de computer of gegevens voor eigen gebruikt, dan kan het 4 jaar worden ;)

[Reactie gewijzigd door windwarrior op 17 december 2012 09:49]

Twee zaken die ik niet begrijp:
1. Waarom neemt Yahoo geen actie naar aanleiding van zijn waarschuwingen over lekken. Het komt de betrouwbaarheid van Yahoo (en de overige genoemde bedrijven) bepaald niet ten goede wanneer hun zwakke plekken aangetoond worden en naar buiten komen, terwijl ze er van af hadden kunnen weten.
2. Wat is het doel van de hacker? Puur hobbyisme, reputatie opbouwen of aandacht? Of, wellicht, om ergens een interessante baan in de wacht te slepen?

Voor de gebruikers van de diensten van genoemde bedrijven is het wel goed om dit te zien, opdat er niet blindelings wordt vertrouwd op 'grote namen'. Het geeft maar weer eens aan dat beveiliging niet vanzelfsprekend is, zelfs wanneer je betaalt voor een dienst die dat zou bieden.
Het is maar te hopen dat de gebruikers van yahoo veilig zijn.
Laat die hackers toch lekker hacken. Zolang de echt waardevolle informatie op de core systemen maar dusdanig versleuteld is dat de informatiewaarde gelijk is aan nul ontmoedigd het de hackers.

Het voelt knap ...lig om veel tijd en schaarse middelen in een hackpoging te investeren met een netto nul-opbrengst.
en wie zegt dat deze systemen niet al jaren worden geexploit door een of andere malafide hacker...
slechte zaak dus, komop yahoo! Als deze lek zijn, hoe veilig is dan je clouddienst?
Ik vind het wel een geniale actie.

Bij Google is/was het volgens mij zo, dat ze een beloning uitgaven als je ergens een lek/hack zou vinden. Misschien moet Yahoo ook zoiets invoeren.

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True