Hacker claimt toegang tot Yahoo-servers
Een hacker die eerder verantwoordelijk zou zijn voor een inbraak op systemen van Adobe, claimt dat hij volledige toegang heeft verkregen tot zeker twee servers en domeinen van Yahoo. De aanvaller stelt dat Yahoo niet heeft gereageerd op eerdere waarschuwingen.
De aanvaller, die opereert onder het alias ViruS_HimA en uit Egypte afkomstig zou zijn, stelt diverse servers van Yahoo te hebben gekraakt. Zo zou hij een 'volledige backup' hebben kunnen maken van een domein dat in handen is van Yahoo. In een screenshot, dat afkomstig zou zijn van de betreffende server, is een configuratiebestand te zien waarin inloggegevens voor een MySQL-database staan. Naast toegang tot bestanden op een server claimt de hacker ook dat hij in totaal twaalf databases van Yahoo kon benaderen.
Om toegang te krijgen tot de Yahoo-servers zou ViruS_HimA gebruik hebben gemaakt van xss-aanvallen en sql-injecties. De hacker stelt dat hij Yahoo al enige tijd geleden op de hoogste heeft gesteld van de gaten in zijn systemen maar dat het bedrijf hier niet op heeft gereageerd. De aanvaller zegt daarop te hebben besloten om bewijsmateriaal te publiceren. Verder claimt de hacker dat hij geen persoonsgegevens zal publiceren.
De hacker claimt dat hij al diverse grote internetbedrijven heeft gewezen op kwetsbaarheden, waaronder Apple, Facebook, Google en Microsoft, zo schrijft The Next Web. Ook zou hij eerder dit jaar Adobe hebben gewaarschuwd voor kwetsbare systemen, maar toen ook dit bedrijf geen actie zou hebben ondernomen besloot de aanvaller gegevens van Adobe-klanten te publiceren. Adobe besloot kort na de publicatie de website enige tijd offline te halen.
Reacties (52)
Nou dit is toch eigenschuld dikke buld van yahoo dat zei hun zaakjes maar niet op orde kunnen krijgen
Ik vind het nog erger dat ze hiervoor gewaarschuwd zijn en dat ze helemaal niet gereageerd hebben.
Wie niet horen wil, moet maar voelen.
Top van de hacker dat hij/zij persoonsgegevens niet publiceert.
Wie niet horen wil, moet maar voelen.
Top van de hacker dat hij/zij persoonsgegevens niet publiceert.
Waarschijnlijk krijgen ze elke dag wel van dat soort mails.. Hoe kan je nou weten dat het waar is?
Ik zou ook niet geloven als ik bij de contact/support-afdeling van Adobe of Yahoo werkte.
Ik zou ook niet geloven als ik bij de contact/support-afdeling van Adobe of Yahoo werkte.
Nou, dan moet je per direct ontslagen worden! Iemand die op de contact-of supportafdeling werkt, moet die beslissing ook helemaal niet nemen. Die moet het alleen doorgeven aan de leidinggevende. En ik mag hopen dat er in die mail iets meer staat dan 'ik heb ingebroken in jullie systeem'. Ik neem aan dat ie er bewijs in de vorm van de servernamen en inlognamen van die databases of een attachment met het bewuste bestand toevoegd. Als ze dat dan aan de verantwoordelijke persoon/beheerder laten zien, kan ie binnen 1 minuut zeggen of het klopt.
Geen rocket science dus.
Geen rocket science dus.
Bij deze actie inderdaad wel, maar:Top van de hacker dat hij/zij persoonsgegevens niet publiceert.
"Ook zou hij eerder dit jaar Adobe hebben gewaarschuwd voor kwetsbare systemen, maar toen ook dit bedrijf geen actie zou hebben ondernomen besloot de aanvaller gegevens van Adobe-klanten te publiceren."
Wellicht heeft hij vervelende consequenties ondervonden? Of is hij tot inkeer gekomen met betrekking tot de mogelijke schade die hij daarmee aanricht?
of denkt hij dat de verwijzing naar de hack bij adobe en diens actie op de publicatie van bewijsmateriaal wél voldoende is om hen tot actie over te laten gaan
Niet mee eens. Ze hebben die hacker toch niet gevraagd om dit te onderzoeken? Natuurlijk is het fout, maar zomaar gegevens online gooien omdat je geen aandacht krijgt is minstens net zo fout.
iemand die kwaad in de zin heeft gaat toch jou ook eerst niet vragem of hij even je site mag hacken of bij je mag inbreken?? zulke mensen hebben bij wijze schijt aan alles,
daarbij schud het de bedrijven (en mensen) wakker door info op het internet te zetten, omdat vaak het bedrijf het stil wilt houden omdat er dan weer extra kosten moeten worden gemaakt om het te fixen, en dat wilt men niet en ach "het is maar 1 persoon die het weet"
daarbij schud het de bedrijven (en mensen) wakker door info op het internet te zetten, omdat vaak het bedrijf het stil wilt houden omdat er dan weer extra kosten moeten worden gemaakt om het te fixen, en dat wilt men niet en ach "het is maar 1 persoon die het weet"
Dit is geen hacken, dit is slechts gewoon beetje geluk hebben met toegang verschaffen tot een PHP pagina waarin toevallig inlog gegevens tot de server staat.
Wellicht zullen nog veel servers zijn die bij mysql standaard root/root hebben.
Dit betekent nog steeds niet men ook werkelijk in de database kan komen.
En dat ze hier ook nog een virus voor nodig hebben dan vind ik het wel diep triest en laag niveau.
Wellicht zullen nog veel servers zijn die bij mysql standaard root/root hebben.
Dit betekent nog steeds niet men ook werkelijk in de database kan komen.
En dat ze hier ook nog een virus voor nodig hebben dan vind ik het wel diep triest en laag niveau.
Wat een onzin. Die hacker is gericht op zoek gegaan naar lekken en heeft zich op die manier toegang verschaft tot het systeem en informatie buitgemaakt waar je normaal niet bij hoort te komen. Dat valt gewoon onder hacken.
Verder is ViruS_Hima zijn nickname en betekent dat niet dat er gebruik is gemaakt van een virus.
De beveiliging heeft een laag niveau, over de skills van de hacker zegt het niks. Alhoewel ik vermoed dat gezien zijn verleden het op dat vlak wel snor zit.
Verder is ViruS_Hima zijn nickname en betekent dat niet dat er gebruik is gemaakt van een virus.
De beveiliging heeft een laag niveau, over de skills van de hacker zegt het niks. Alhoewel ik vermoed dat gezien zijn verleden het op dat vlak wel snor zit.
@BoringDay,
Dude,
PHP is server side. Als je toegang hebt tot een PHP pagina dan bekijk je deze dus op de server en niet via je webbrowser. Je kan niet 'met toeval' een PHP pagina uitlezen. PHP wordt geparst naar bijvoorbeeld HTML voordat het je webbrowser bereikt.
Dude,
PHP is server side. Als je toegang hebt tot een PHP pagina dan bekijk je deze dus op de server en niet via je webbrowser. Je kan niet 'met toeval' een PHP pagina uitlezen. PHP wordt geparst naar bijvoorbeeld HTML voordat het je webbrowser bereikt.
[Reactie gewijzigd door Onoffon op maandag 17 december 2012 00:37]
niet helemaal waar, als de webserver op enig moment verkeerd is geconfigureerd is het zeker mogelijk dat PHP code direct naar de browser wordt gestuurd.
Als iemand even mod_php uitzet krijg je gewoon puur php in de browser.
Als iemand even mod_php uitzet krijg je gewoon puur php in de browser.
Twee zaken die ik niet begrijp:
1. Waarom neemt Yahoo geen actie naar aanleiding van zijn waarschuwingen over lekken. Het komt de betrouwbaarheid van Yahoo (en de overige genoemde bedrijven) bepaald niet ten goede wanneer hun zwakke plekken aangetoond worden en naar buiten komen, terwijl ze er van af hadden kunnen weten.
2. Wat is het doel van de hacker? Puur hobbyisme, reputatie opbouwen of aandacht? Of, wellicht, om ergens een interessante baan in de wacht te slepen?
Voor de gebruikers van de diensten van genoemde bedrijven is het wel goed om dit te zien, opdat er niet blindelings wordt vertrouwd op 'grote namen'. Het geeft maar weer eens aan dat beveiliging niet vanzelfsprekend is, zelfs wanneer je betaalt voor een dienst die dat zou bieden.
1. Waarom neemt Yahoo geen actie naar aanleiding van zijn waarschuwingen over lekken. Het komt de betrouwbaarheid van Yahoo (en de overige genoemde bedrijven) bepaald niet ten goede wanneer hun zwakke plekken aangetoond worden en naar buiten komen, terwijl ze er van af hadden kunnen weten.
2. Wat is het doel van de hacker? Puur hobbyisme, reputatie opbouwen of aandacht? Of, wellicht, om ergens een interessante baan in de wacht te slepen?
Voor de gebruikers van de diensten van genoemde bedrijven is het wel goed om dit te zien, opdat er niet blindelings wordt vertrouwd op 'grote namen'. Het geeft maar weer eens aan dat beveiliging niet vanzelfsprekend is, zelfs wanneer je betaalt voor een dienst die dat zou bieden.
Ik vraag mij af hoe snel deze hacker wordt opgepakt. Al ben ik blij dat hij gaten aantoont in beveiliging, hoop ik dat wat hij publiceert zodanig is gecensureerd dat klanten van deze bedrijven er niet onder lijden.
waarom zou hij opgepakt moeten worden als hij geen persoonsgegevens heeft gepubliceerd?
Omdat het inbreken in computer systemen op zichzelf al een misdrijf is?
Hier in nl is dat meschien strafbaar, maar of dit in egypte ook zo is?
meschien
misschien, en in egypte .. nee ;-) niet strafbaar
Het proberen ertoe ook, maar laat dat nou net een heikel punt in de wet zijn, want ga je diegene die je er op wijst dat je systeem niet veilig is (ZONDER persoonsgegevens/afpersing enzo) ook vervolgen? Dan weet je 100% dat niemand ooit nog lekken gaat aangeven.
Dan moet die Yahoo informeren en niet de media.
Het is nu al bekend dat Yahoo vatbaar is voor XSS en SQL injections. Waarschijnlijk is nu een leger aan script kiddies bezig de servers van Yahoo aan te vallen..
Misschien dat Yahoo zonder feedback aan de hacker de problemen al heeft opgelost, maar als dat niet zo is, dan kunnen er nadelige gevolgen zijn voor (enkele) klanten van Yahoo.
De servers van Yahoo, Google en Microsoft worden natuurlijk continue aangevallen middels pogingen van XSS en SQL injections. Maar dan 'hoopt' men een zwakke plek te kunnen vinden, nu weet men dat er een zwakke plek is en zal men veel meer moeite doen om binnen te komen, dan als men niet op de hoogte is van de zwakke plek..
Maar Yahoo heeft zo te zien wel meer zwakke plekken. Zo delen de news en feedback onderdelen hetzelfde 'yahoo' account. Dat betekend dat als je de feedback server weer te hacken, je ook automatisch bij nieuws en waarschijnlijk andere onderdelen kan komen.
Ik snap dat echt niet van bedrijveen. Wel de website partitioneren in verschillende modules, maar dat dan weer niet doortrekken naar de database.
Elke welke DBA staat toe dat er dan een algemene username als 'yahoo' gebruikt mag worden? Een credential bestaat uit een username en een wachtwoord. Als ik de username kan raden, dan is een bruteforce password attack niet meer zo moeilijk..
Misschien dat Yahoo zonder feedback aan de hacker de problemen al heeft opgelost, maar als dat niet zo is, dan kunnen er nadelige gevolgen zijn voor (enkele) klanten van Yahoo.
De servers van Yahoo, Google en Microsoft worden natuurlijk continue aangevallen middels pogingen van XSS en SQL injections. Maar dan 'hoopt' men een zwakke plek te kunnen vinden, nu weet men dat er een zwakke plek is en zal men veel meer moeite doen om binnen te komen, dan als men niet op de hoogte is van de zwakke plek..
Maar Yahoo heeft zo te zien wel meer zwakke plekken. Zo delen de news en feedback onderdelen hetzelfde 'yahoo' account. Dat betekend dat als je de feedback server weer te hacken, je ook automatisch bij nieuws en waarschijnlijk andere onderdelen kan komen.
Ik snap dat echt niet van bedrijveen. Wel de website partitioneren in verschillende modules, maar dat dan weer niet doortrekken naar de database.
Elke welke DBA staat toe dat er dan een algemene username als 'yahoo' gebruikt mag worden? Een credential bestaat uit een username en een wachtwoord. Als ik de username kan raden, dan is een bruteforce password attack niet meer zo moeilijk..
Behalve dat je hoogstwaarschijnlijk überhaupt niet bij de database kunt van buitenaf.
Meestal kun je vanaf buiten alleen bij de website en kan de website zelf weer bij de database. De website software logt dan dus in op de database en voert de queries voor je uit en toont de resultaten in een HTML pagina.
Het mooist zou het inderdaad zijn als de website hiervoor niet één generieke account zou gebruiken met (vrijwel) alle rechten, maar er per website gebruiker een database account zou zijn met slechts gelimiteerde permissies op basis van wat die ene account mag, maar in de praktijk gebeurt dit slechts uiterst zelden. Ik heb zo'n inrichting nog nooit in de praktijk gebruikt zien worden terwijl ik toch al meer dan 10 jaar als web developer werk. Alle CMS en die ik ken gebruiken gewoon één database account met één gebruikersnaam en wachtwoord, en die staan vrijwel altijd ergens in een configuratie / script bestandje in een afgeschermde map van de webserver.
Meestal kun je vanaf buiten alleen bij de website en kan de website zelf weer bij de database. De website software logt dan dus in op de database en voert de queries voor je uit en toont de resultaten in een HTML pagina.
Het mooist zou het inderdaad zijn als de website hiervoor niet één generieke account zou gebruiken met (vrijwel) alle rechten, maar er per website gebruiker een database account zou zijn met slechts gelimiteerde permissies op basis van wat die ene account mag, maar in de praktijk gebeurt dit slechts uiterst zelden. Ik heb zo'n inrichting nog nooit in de praktijk gebruikt zien worden terwijl ik toch al meer dan 10 jaar als web developer werk. Alle CMS en die ik ken gebruiken gewoon één database account met één gebruikersnaam en wachtwoord, en die staan vrijwel altijd ergens in een configuratie / script bestandje in een afgeschermde map van de webserver.
Het is maar te hopen dat de gebruikers van yahoo veilig zijn.
Virus_Hima is een Notepad++ gebruiker, zo te zien 
Die comments in Comic Sans MS laat highlighten 
Ehhh, default behaviour.
Nee?
Ik gebruik enkel Notepad++ maar ik zie nergens Comic Sans. Gelukkig
Ik gebruik enkel Notepad++ maar ik zie nergens Comic Sans. Gelukkig
Ik kan mij voorstellen dat als je dagelijks tientallen van dit soort claims ontvangt, het niet te doen is om deze allemaal direct te checken. Da's ook een manier om een IT afdeling lekker af te leiden en bezig te houden. Information overflow, zullen we het maar noemen.
Sorry hoor maar als je dagelijks tientallen claims van dergelijke aard ontvangt dan is dat een gegronde reden om je systemen eens grondig door te lichten. We hebben het hier niet over de bakker om de hoek, dit bedrijf is met persoonsgegevens in de weer!Ik kan mij voorstellen dat als je dagelijks tientallen van dit soort claims ontvangt, het niet te doen is om deze allemaal direct te checken. Da's ook een manier om een IT afdeling lekker af te leiden en bezig te houden. Information overflow, zullen we het maar noemen.
Zover ik kan nagaan, pleegt deze hacker een (overigens internationale) misdaad, alhoewel met goede bedoelingen. Het blijft natuurlijk af te keuren, maar aan de andere kant kan ik begrijpen waarom hij deze actie heeft gedaan. Moge een eventuele aanklacht uitblijven, en anders, dat de rechter hierin een rechtmatig oordeel over kan vellen aan de hand van wettelijk correct verkregen bewijsmateriaal.
Zelf kan ik hier niet over oordelen, daar 1. mijn kennis niet toereikend is, 2. er niet zoveel publiekelijk bekend is gemaakt en 3. ik geen rechter ben.
Zelf kan ik hier niet over oordelen, daar 1. mijn kennis niet toereikend is, 2. er niet zoveel publiekelijk bekend is gemaakt en 3. ik geen rechter ben.
Deze persoon zou onder de nederlanse wet inderdaad computervredebreuk gepleegd en dat zou hem hier een straf van maximaal 1 jaar of een boete betekenen, tenzij hij de computer of gegevens voor eigen gebruikt, dan kan het 4 jaar worden 
[Reactie gewijzigd door windwarrior op maandag 17 december 2012 09:49]
Tsja, hoe serieus moet je een hacker nemen die Comic Sans in z'n editor gebruikt? 
OffTopic:
Tsja, hoe serieus moet je een Tweaker nemen die zijn geboorte datum in zijn naam gebruikt?
Of-te-wel: Is een product slecht, omdat de naam niet bevalt?
Ik vind de naam Apple, absoluut niet fraai - maar zijn hun producten daarom 'by default' afgekeurd - integendeel!
De hacker in kwestie zal de MS Comic Sans wel voor het uiterlijk hebben gekozen,
en niet omdat MS daarachter zit (of welke vreemde gedachte dan ook).
Tsja, hoe serieus moet je een Tweaker nemen die zijn geboorte datum in zijn naam gebruikt?
Of-te-wel: Is een product slecht, omdat de naam niet bevalt?
Ik vind de naam Apple, absoluut niet fraai - maar zijn hun producten daarom 'by default' afgekeurd - integendeel!
De hacker in kwestie zal de MS Comic Sans wel voor het uiterlijk hebben gekozen,
en niet omdat MS daarachter zit (of welke vreemde gedachte dan ook).
Laat die hackers toch lekker hacken. Zolang de echt waardevolle informatie op de core systemen maar dusdanig versleuteld is dat de informatiewaarde gelijk is aan nul ontmoedigd het de hackers.
Het voelt knap ...lig om veel tijd en schaarse middelen in een hackpoging te investeren met een netto nul-opbrengst.
Het voelt knap ...lig om veel tijd en schaarse middelen in een hackpoging te investeren met een netto nul-opbrengst.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Android Tablets Samsung Websites en communities Mobiele telefoons Google Sony Microsoft Games Politiek en recht
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
