Yahoo: staatshackers stalen gegevens half miljard gebruikersaccounts

The account information may have included names, email addresses, telephone numbers, dates of birth, hashed passwords (the vast majority with bcrypt) and, in some cases, encrypted or unencrypted security questions and answers. The ongoing investigation suggests that stolen information did not include unprotected passwords, payment card data, or bank account information; payment card data and bank account information are not stored in the system that the investigation has found to be affected

Uit persbericht en:

Online intrusions and thefts by state-sponsored actors have become increasingly common across the technology industry. Yahoo and other companies have launched programs to detect and notify users when a company strongly suspects that a state-sponsored actor has targeted an account. Since the inception of Yahoo’s program in December 2015, independent of the recent investigation, approximately 10,000 users have received such a notice.

Mijn conclusies ze weten niet de omvang precies, vanaf december 2015 hebben ze wel 10.000 mensen geïnformeerd dat hun account mogelijk gecomprimeerd was, zonder dat ze de omvang kenden.

De vraag is kennen ze de omvang omdat ze pseudo koop van bestanden hebben gedaan, immers na jaren zal je WAT er gestolen is niet zonder meer kunnen vaststellen. Ook indien je logfiles jaren bewaard (en naar b.v. remote syslog/siem server hebt zitten sturen) is het maar de vraag of je activiteiten kunt zien.

Bijvoorbeeld je kunt database dumpen door SQL commando's te gebruiken, dit zal log activiteiten genereren, maar als jij SQL server files gewoon kopieerd.... dan laat je alleen sporen na in disk-, netwerk en piek in resources na.

Met betrekking mijn opmerking "Whois Cares" wat voor mensen gebruikten er Yahoo? Ik ken vele e-commerce sites die elke klant die wilde bestellen met een Yahoo /MSN (en nog een paar gratis providers) blokkeerden omdat er toch voornamelijk creditcard fraude en fake orders vanaf kwamen.

Bovendien of Yahoo je privacy schend of een derde partij? Men moet gewoon niet zeuren als je gratis dienst gebruikt en wat er te halen valt wilde je zelf toch al verspreiden want je hebt het zelf zitten intypen/uploaden etc...

Het is een ander verhaal als elektronisch patiënten dossier gehacked zou worden of een uitkeringsinstantie of belastingdienst etc.. deze bewaren sinds onze geboorte ongevraagd informatie over ons. En weten (gezamenlijk) veel meer over ons zelf dan dat wij weten.

Met nadere woorden het kan veel erger.

Met betrekking tot die ene individu die wel interessant is.

Heb je weleens door een paar duizend regels gegevens iets zinnigs proberen te vinden?

Stel dan eens voor met een half miljard regels.... als je niet al iets weet van iemand, zijn adres, naam, telefoonnummer en er vanuit gaande dat mensen hun gegevens oprecht hebben ingevuld (zonder bewuste/onbewuste typo's) zul je die 1% procent al niet vinden. Want je hebt namelijk die gegevens al voordat je begon met zoeken.

Tenzij ze ook alle overige gebruikers data (mails?) hebben meegepakt, maar dan moet je account toch eerst vinden.

Yahoo zegt misschien "state-hackers" om boel te bagatelliseren zoals democraten ook hebben gedaan door Rusland aan te wijzen.... maar stel het is wel zo, waarom zouden ze half miljard gegevens willen hebben, terwijl ze maar interesse in 10.000 mensen hebben?

Bovendien in 2014 kon je nog valse certificaten aanmaken (nu ook wel, maar lastiger)
dus overheden konden "person of intrest" wachtwoorden, communicatie etc... gewoon van de lijn af plukken, daar hoeven ze niet server voor over te nemen. Om maar te zwijgen over trojans.

Om lang verhaal kort te maken, Yahoo accounts (en meerder gratis diensten) werden niet tot nauwelijks in/door Nederland gebruikt. Bestellingen van Yahoo account met paypal of CC betaling waren voor 99% fraude (ik spreek uit me eigen praktijk), spam en fishing vanaf Yahoo accounts was voornaamste wat er binnen kwam (totdat ik heel yahoo.* blokkeerde.).

In Frankrijk en Afrika werd wel veel Yahoo gebruikt overigens.

Bovendien schend Yahoo net als al die andere grote bedrijven ook gewoon je privacy.

In theorie kan alles.

36 core instance on AWS
Hash type: bcrypt, Blowfish(OpenBSD)
Speed/sec: 25.86k words

bron: http://blog.nullmode.com/blog/2015/03/22/36-core-aws-john/

Bcrypted heeft een ingebouwde salt functie waardoor rainbow-tables niet te gebruiken zijn (uit praktische overweging..... NSA zal genoeg resources hebben)

500 miljoen / 25.86k = 19.335 seconde = 5,4 uur.

Dan heb je in theorie half miljard login + wachtwoorden.

Waar wil je ze gaan proberen?

1) Je moet al weten wie het is
2) Je moet al weten dat hij ergens een account heeft
3) Het moet voor de hand liggen dat hij zijn yahoo account (mail adres) daar gebruikt
4) Bij Yahoo of elders moet in de afgelopen 2 jaar wachtwoord niet gewijzigd zijn
5) Ze mogen geen dubbele login check (b.v. op IP of SMS of ander token) hebben
6) Ze mogen geen detectie hebben voor meerdere pogingen en andere verdachte activiteiten

En dat met een half miljard gegevens?

Vorige eeuw was vaak login detectie en overige logs niet centraal geregeld en policies niet aanwezig of niet toereikend en dan had je geautomatiseerd van een grote range IP adressen dit kunnen proberen. Vandaag de dag zou het niet moeten kunnen.

Ik zeg altijd tegen mensen heb je nog een oude telefoon boek, zo ja, sta je er in, zo ja, is dat gevaarlijk? Want in een verzameling gegevens voorkomen is niet erg, maar als iemand het echt op je gemunt heeft doe je er niets aan. Want naast online mogelijkheden, NAS/router hacken, trojan installeren, verkeer tappen, mailservers hacken etc... kan men altijd zonder braaksporen fysiek inbreken. En er zijn maar weinig mensen die thuis camera's hebben hangen (of ze wel hebben en DVR er ook hebben staan).

Vertrouw jij je keyboard en muis ? Of beter je wifi netwerk? Oh je hebt gescheiden gast wifi? En je smartphone dan? Die heeft ook gewoon toegang tot je NAS ?

Je kunt je beter zorgen maken over je smartphone dan over een Yahoo/MSN/GMAIL/Facebook account die gehacked is. Want je kiest er zelf voor om die te gebruiken. Je smartphone ook overigens, maar je verwacht niet dat deze tegen je gebruikt gaat worden.....

Toen GSM net in begon te komen was men erg bezorgd bij inlichtingendiensten.
Toen bij eerste netwerken je gewoon signaal uit ether kon plukken, zonder tapebevel (wat nu nog steeds gebeurd overigens) zag men het als voordeel.
Bij smartphones is er o.a. uit economische motieven geen enkele tegengeluid geweest. Immers wat is handiger dat iedereen zelf iets betaald heeft die hun locatie en communicatie prijs geeft... en nu beginnen ze te mekkeren over point2point encryptie omdat het hun natte droom heeft zitten verstoren.

Ik snap overigens niet dat sites zoals Yahoo geen vaste periode hebben waarin verplicht wachtwoorden moeten aangepast worden. Wij hebben dat voor onze klanten om de 6 maanden, ja heel irritant. Maar wel beter voor iedereen. Bovendien two-factor authenticatie bestaat al heel lang. En daarmee voorkom je de relevantie van login/password authenticatie.

Maar de impact is nihil. Het enige wat ik voor mezelf kan verzinnen (heb geen yahoo account) dat ik ooit eens Yahoo advertentie netwerk heb gebruikt, ze deden advertenties voor Microsoft (destijds?) en dat ze prepaid tegoed kunnen gebruiken om hun eigen advertenties te kunnen runnen. So what.... Yahoo zal dat kunnen/moeten compenseren. En ik zou er niet moeilijk over doen dat indien ze uit half miljard l/p's die ook kunnen destilleren en de moeite (want dat is het) nemen om in te loggen op advertentie netwerk en advertentie plaatsen.

Ik denk dat we ons beter zorgen kunnen maken over wat overheden en bedrijven met onze data uitspoken. Dit soort incidenten bewijzen alleen dat ze hun zaakjes niet op orde hebben.

Zoals je uit mijn vorige antwoord kunt zien, zou ik me pas druk maken indien het belastingdienst (digi-d b.v.) uitkeringsinstanties of verzekeraars/ziekenhuizen zou betreffen. Want die hebben verzamelen informatie over individuen zonder dat we er zelf voor gekozen hebben. En die informatie is wel HEEL VEEL geld waard.

Zie mijn antwoorden hierboven.

Yahoo werd al niet serieus genomen bij e-commerce omdat er voornamelijk met gestolen Paypal en CC werd betaald. Na een paar chargebacks (100 dollar boete) van CC bedrijven ga je vanzelf Yahoo blokkeren.

Voor identiteitsfraude heb je meer nodig dan alleen NAW gegevens.
Je kunt miljarden CC + NAW + telefoon kopen, echter CC bedrijven doen een chargeback dus als bedrijf zorg je er voor dat je een paar veiligheidsmaatregelen neemt om te zorgen dat je niet iedereen die bij je bestelling plaatst vertrouwd.

Copy paspoort/ID (tegenwoordig gelukkig beide kanten) zou je zorgen over moeten maken.