Hacker 'Peace' biedt 200 miljoen Yahoo-accounts aan

Een hacker, die zichzelf 'Peace' noemt, biedt 200 miljoen gebruikersgegevens van Yahoo-accounts aan. Hoe legitiem de claim is, is moeilijk te zeggen. Eerder bood dezelfde hacker dumps aan van LinkedIn en MySpace.

Yahoo zegt in een reactie op Motherboard bekend te zijn met de claim, maar dat het de echtheid of de legitimiteit van de data niet kan bevestigen of ontkrachten. Wel zegt het de claim van de hacker 'zeer serieus' te nemen.

De hacker heeft tegen Motherboard gezegd dat hij de data al een tijdje onder het voetlicht verkocht, maar nu besloot die openbaar te koop aan te bieden. De lijst met volgens Peace 'vermoedelijk data uit 2012' is verkrijgbaar voor 3 bitcoin, ongeveer 1650 euro.

Op dit moment heeft Yahoo nog geen datalek uit 2012 bevestigd en voordat de data vrijgegeven worden voor verificatie, is niet te zeggen of het gaat om data die herverpakt zijn van andere grote datalekken. De data die aangeboden worden, bestaan uit gebruikersnamen, met md5 gehashte wachtwoorden, geboortedata en in sommige gevallen backup-e-mailadressen.

Peace zegt tegen Motherboard dat het voor hem 'beter is als Yahoo niet gaat voor een wachtwoordreset'. Motherboard verkreeg 5000 gegevens voordat de data te koop aan werden geboden en kon daaruit opmaken dat een deel van de gebruikersnamen lijkt te corresponderen met bestaande accounts, al testte het maar 'twee dozijn' namen door de e-mailadressen simpelweg in het inlogveld van Yahoo in te vullen en te kijken of naar de volgende stap gegaan kon worden. Aan de andere kant kreeg Motherboard bij pogingen contact te krijgen met 100 e-mailadressen vaak terug dat de e-mail onbestelbaar was.

Update 7.40 uur: Het lijkt erop dat Yahoo gebruikers nu wel aanraad een nieuw wachtwoord in te stellen. Of dit is ingesteld na het bekend worden van een mogelijk lek uit 2012 of dat het willekeurig aangeboden wordt, is niet duidelijk.

IT-banen

Reacties (28)

Jan_Klaassen768 2 augustus 2016 07:35

Yahoo heeft al wel stappen gezet. Ik kreeg net bij het inloggen gelijk het verzoek om een nieuw wachtwoord op te geven. Je kunt dat verzoek negeren maar het was wel nieuw.

Martinus @Jan_Klaassen768 • 2 augustus 2016 08:01

Dat is al maanden zo, wellicht was het al eerder bekend. Ben benieuwd of je kan zoeken naar jezelf.

Auteur

letatcest @Martinus • 2 augustus 2016 08:44

Bedoel je die 'help us keep you safe'-pagina? (ik had hem nog niet eerder gezien, maar sta meestal ook nog ingelogd..) of dat het al eerder bekend was van de gegevens?

Martinus @letatcest • 2 augustus 2016 08:48

Ik herken je wel, blijf ook ingelogd. Ik heb meerdere yahoo accounts waarin ik niet vaak inlog en daar krijg ik al zeker heel 2016 de vraag voor veiligheid, mss omdat het ww wel 8jr oud is. Ofwel het was m.i. al eerder dat ze naar de veiligheid zoeken in je password. Dus die hack lijkt me eerder bekend, al is er natuurlijk de laatste jaren veel meer aandacht voor wachtwoord veiligheid. Of er dus een verband is ben ik benieuwd.

Auteur

letatcest @Jan_Klaassen768 • 2 augustus 2016 07:42

Interessant, toegevoegd.

jsnl @Jan_Klaassen768 • 2 augustus 2016 13:55

Hier ook net ingelogd, krijg zo'n verzoek als jij noemt dus helemaal niet; ook bij het nieuws op hun site geen enkele verwijziging naar die hack...

Firefly III 2 augustus 2016 07:28

Peace zegt tegen Motherboard dat het voor hem 'beter is als Yahoo niet gaat voor een wachtwoordreset'.

Nogal wiedes. Als Yahoo! de data koopt (1650 euro is een schijntje) kunnen ze simpelweg alle wachtwoorden resetten en klaar is kees.

FreshMaker @Firefly III • 2 augustus 2016 07:57

[...]Nogal wiedes. Als Yahoo! de data koopt (1650 euro is een schijntje) kunnen ze simpelweg alle wachtwoorden resetten en klaar is kees.

Als Yahoo het niet koopt, en dus 1650 euro niet toebedeeld aan een crimineel, EN alle wachtwoorden reset, is kees ook klaar.

Wat een groter probleem is het hergebruik van wachtwoorden, met dezelfde loginnaam.
Yahoo kan dan wel een reset doen, maar andere sites moeten daar ook maar in mee kunnen gaan.
De linkedin hack zorgde voor een issue bij Teamviewer, waar men dezelfde naam/ww gebruikte.

Het wordt tijd dat de gebruiker realiseert dat alles aan elkaar geknoopt kan worden, ook als ze niets met elkaar te maken hebben.
Dus principieel altijd een ander WW/login combo verzinnen is beter dan achteraf wéér allerlei sites afstruinen om de boel aan te passen

Hvanveldhoven @FreshMaker • 2 augustus 2016 10:50

Ben het in de basis wel met je eens, alleen moet de gebruiker tegenwoordig voor ongeveer iedere website een account aanmaken. Daar komt nog bij dat de eisen die aan wachtwoorden worden gesteld (lengte, speciale tekens etc.) steeds strenger worden. En, dan moet je vaak ook nog eenmaal in de zoveel tijd verplicht je wachtwoord wijzigen. Kan me best voorstellen dat mensen dan dingen gaan herhalen. Bovendien bleek onlangs dat wachtwoordmanagers ook niet onfeilbaar zijn. Denk eerlijk gezegd dat grote bedrijven best (financieel) verantwoordelijk gemaakt mogen worden voor dit soort hacks.

Verwijderd @Hvanveldhoven • 2 augustus 2016 11:53

Daar komt nog bij dat de eisen die aan wachtwoorden worden gesteld (lengte, speciale tekens etc.) steeds strenger worden.

En als brute force hacker ben je er blij mee gezien je dan je test range aardig kunt beperken. Men zou eens moeten stoppen met dat te forceren.

FreshMaker @Hvanveldhoven • 2 augustus 2016 13:51

Door overal 2FA op dezelfde manier te introduceren, kun je al een aantal 'verplichtingen' verzwakken.
Voor mezelf, ik gebruik naast keepass, die een vaste ( random) range gebruikt, de key-auth van Authy, elke xx seconden een nieuwe key die je kan overtypen waar nodig.

Maar zolang bedrijven zelf elke keer het wiel willen uitvinden ( paypal, die hardnekkig sms stuurt ) hou je een te grote diversiteit, en wordt het als 'lastig' ervaren.

Er is niets mis met het regelmatig "moeten" wijzigen van het wachtwoord, zeker in combinatie met een eigen persoonlijke passwordmanager.
* FreshMaker zou dat nooit online laten genereren, zoals lastpass of onepass doet.
Server weg ... data weg .... Keepass heft een eigen keyfile, waar je desgewenst zelf deze online kan houden bij de cloud-service die je vertrouwd, voor mij is dat TransIP's stack.

MrMonkE @FreshMaker • 2 augustus 2016 11:52

Het wordt ook tijd dat mensen zich realiseren dat voor heel veel websites mensen het helemaal niets kan schelen als hun account gehacked wordt. Ik gebruik voor dat soort websites overal hetzelfde wachtwoord. Ben toch niet gek dat ik overal wachtwoorden als U^Nspv<@2(.Z8zEL ga gebruiken. Overal op sites die niet boeien hetzelfde, lekker makkelijk. En alleen sites die wel boeien een uniek en complex wachtwoord.

FreshMaker @MrMonkE • 2 augustus 2016 13:56

Ik denk zelfs dat je je vertrouwen nooit in een ander moet leggen, als het gaat om jouw gegevens.
de gebruiker is verantwoordelijk, niet de tegenpartij.
Beveilig je jouw account niet degelijk ( koppeling met andere sites op basis van naam/ww ) moet je de schuld bij jezelf zoeken.

Natuurlijk hebben de site's een verantwoording, maar imho houdt die op bij hun beveiliging, er mag niemand doorbreken ... maar zou het wel gebeuren, moet je zelf zorgen voor adequate afscheiding.

Om een lompe analogie er in te gooien,
Je vertrouwd op de waterschappen dat de dijken niet doorbreken, maar je zorgt toch zelf in zo'n gebied dat je waardevolle zaken 'hoog en droog' liggen, voor ALS het gebuert ?
Of je zet sloten op je woning, tegen inbraak, maar waardepapieren liggen toch alsnog in de kluis, en niet op de keukentafel, of is de slotenfabrikant verantwoordelijk ?

Heegenees @Firefly III • 2 augustus 2016 11:10

Klopt, het grote probleem bij dergelijke grote batches met gegevens is dat ze worden gebruikt om woordenboeken met veelvoorkomende wachtwoorden te gebruiken. Als je vervolgens hashes gaat decoden kun je verifiëren of de uitkomst in zo'n woordenboek voorkomt. Indien dat het geval is, is het zeer waarschijnlijk dat je het wachtwoord juist hebt weten te achterhalen. Hij verkoopt die lijst dus ook niet éénmaal waarschijnlijk maar aan iedereen die hem kopen wil.

Danny 2 augustus 2016 08:05

Met MD5 gehashed? Dan kun je in principe net zo goed NIET hashen. Alles korter dan een karakter of 8 en een beetje cuda-systeem gaat daar in alles van een paar seconden tot een paar uur gehakt van maken.

http://frontpage.fok.nl/w...kt-password-cracking.html

SpiceWorm @Danny • 2 augustus 2016 09:57

Ik hoop dat er een salt op zit, dan wordt het een stuk lastiger.

Verwijderd @SpiceWorm • 2 augustus 2016 11:54

Met MD5 valt dat wel mee gezien er meerdere inputs tot dezelfde hash kunnen leiden.

SpiceWorm @Verwijderd • 2 augustus 2016 13:14

Zonder salt kan je gewoon een lookup doen in een rainbow table. Dat kost haast geen cpu power.

Trefwoord 2 augustus 2016 14:29

Naar aanleiding van dit artikel maar weer eens ingelogd op mijn yahoo account. Het account bleek te zijn misbruikt voor het aanmaken van een facebook account in 2015 en nogmaals in 2016 (wat niet gelukt is omdat het al aan een facebookaccount was gekoppeld). Kennelijk hebben er dus een of meerdere personen ingelogd met een (uniek en lang) wachtwoord dat op 22 augustus 2014 is gewijzigd. Of ze hebben zich op een andere manier toegang verschaft. Als er een verband is met de in het artikel genoemde aangeboden data is deze data dus nieuwer dan 22 augustus 2014.

mutley69 @Trefwoord • 2 augustus 2016 15:52

Eigenlijk zou ik moeten adviseren om klacht neer te leggen - bepaal zeker de schade - zie wat er in die box zat. Als er iets van persoonlijke details in zit - zou ik zeker tegen die inbraak van 2016 klacht indienen.
Misschien is't gewoon beter om niet gebruikte accounts op te ruimen - al wordt dat na een jaar opnieuw vrijgegeven - en kan ook dat op zich al een risico vormen. Zo zie je maar dat iets eenvoudigs als een account op een cloud-dienst - toch verstrekkendere gevolgen kan hebben als u op 't eerste zicht zou denken.
We zijn tweakers uiteraard dankbaar voor de melding - en ook ikzelf heb m'n wachtwoord aangepast en meteen melding gemaakt op 'n yahoo-forum - zodat al die anderen met yahoo-id dat ook aanpassen.
Men zegge het voort (en men maakt uiteraard graag daarbij reclame voor tweakers!).

beerse 2 augustus 2016 09:12

....al testte het maar 'twee dozijn' namen door de e-mailadressen simpelweg in het inlogveld van Yahoo in te vullen en te kijken of naar de volgende stap gegaan kon worden.

Toch een minder goed teken dat het zo al mogelijk is om te zien dat een email address wel of niet bekend is. Zelf zou ik het liefste zien dat bij ieder address ook een wachtwoord gevraagd wordt, zodat niet te controleren is of het wachtwoord klopt. Ook bij de vergeten-wachtwoord pagina zou alles geaccepteerd moeten worden. Pas in het mailtje dat daarna verschijnt zou moeten blijken of het een echt account is of niet.

? ? @beerse • 2 augustus 2016 10:12

Precies, dit is op zich al een datalek (het lekken van je leden).
Een reden om Yahoo te mijden.

dispie 2 augustus 2016 15:39

Laten we eerlijk zijn, Yahoo als zoek engine is een grappig, maar niet erg goed. En wie gebruikt er een Yahoo mail nu. Yahoo staat al 15-20 jaar bekend om zijn slechte beveiliging en zijn onwil om daar iets aan te doen.

Mijn 2de hack op mijn 15-16de was Yahoo doordat er een username en wachtwoord admin/admin was, met daar achter aan een mail naar Yahoo, dat ze die snel moeten aanpassen. Toen waren ze er al erg lax mee en zal me niets verbazen als er nogsteeds routers met admin/admin gebruikt word.

Jammer dat ze de term "hacker" gebruiken voor een crimineel stuk vuil. Sorry maar de meeste hackers kijken neer op dit soort diefstal van data. Verbaast me dat zelf tweakers continu criminelen de title Hackers geeft. Dit geeft de rest van ons echte hackers een slechte naam.

Ik hack alleen nog op verzoek van de bedrijven zelf tegenwoordig maar meestal ben ik met leuke projectjes bezig zoals een gamebody games op een sega gamegear draaien of van Apple producten werkende producten maken.

Ik hoop dat ze hem snel te pakken krijgen en hem al de gemaakte inkomsten afpakken en opsluiten.

Mauz1978

2 augustus 2016 07:22

Als je het leest lijkt alsof de login gegevens buit zijn gemaakt, maar als je oplet gaat het alleen maar om de gebruikersnamen? Lijkt op een storm in een glas water, maar kan toch niet verkeerd zijn om je wachtwoord maar te veranderen, en wellicht je telefoonnummer toevoegen aan het account ter extra bescherming.

[Reactie gewijzigd door Mauz1978 op 22 juli 2024 22:57]

gorgi_19 @Mauz1978 • 2 augustus 2016 07:29

Als je kijkt in de originele link, wordt er ook een verwijzing gemaakt dat de sample data wachtwoorden (gehashed met MD5) bevat:

quote: http://motherboard.vice.c...lion-credentials-dark-web
According to a sample of the data, it contains usernames, hashed passwords (created with md5 algorithm), dates of birth, and in some cases back-up email addresses.

Auteur

letatcest @Mauz1978 • 2 augustus 2016 07:29

Goeie, even toegevoegd waar het om gaat:
"De data die aangeboden worden, bestaan uit gebruikersnamen, met md5 gehashte wachtwoorden, geboortedata en in sommige gevallen backup-e-mailadressen."

xiphoid 2 augustus 2016 09:56

Last login August 1st, 2012;
Last activity August 1st, 2012; Password change.
Current session logged August 2nd, 2016.

Nou, het was sowieso eens tijd om weer eens Yahoo te gebruiken. lol, bedankt Tweakers voor de headsup.

Verwijderd 3 augustus 2016 11:47

Dump bevat non-salted md5.
Denk niet dat ik een line mag posten, dus dat doe ik maar niet.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (28)

Sorteer op:

Weergave: