Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Yahoo-hack trof meer dan een miljard accounts

Door , 82 reacties, submitter: mocean

Yahoo waarschuwt dat zijn systemen in augustus 2013 binnengedrongen zijn, waarbij de gegevens van meer dan een miljard accounts zijn buitgemaakt. Het gaat onder andere om e-mailadressen, telefoonnummers en met MD5 gehashte wachtwoorden.

yahooYahoo heeft niet kunnen achterhalen hoe zijn systemen binnengedrongen zijn, maar gelooft dat de hack losstaat van het incident dat het bedrijf in september onthulde, waarbij de diefstal van 500 miljoen accountgegevens werd bekendgemaakt.

De nieuwe melding is gebaseerd op de analyse van een dataset die Yahoo eerder dit jaar kreeg van de Amerikaanse autoriteiten. "Gebaseerd op de analyse van de data door forensische experts, geloven we dat een ongeautoriseerde partij in augustus 2013 data gestolen heeft van meer dan een miljard gebruikersaccounts", meldt Yahoo.

Onder de gestolen gegevens zijn namen, e-mailadressen, telefoonnummers, geboortedata en in sommige gevallen versleutelde en onversleutelde beveiligingsvragen en -antwoorden. Daarnaast zijn de met het onveilig geachte MD5 gehashte wachtwoorden buitgemaakt. Ook in 2013 was al duidelijk dat MD5 niet veilig was. Wachtwoorden in klare tekst zijn niet in handen gekomen van de aanvallers en ook bankgegevens zijn geen onderdeel van de hack, claimt Yahoo.

Het bedrijf gaat alle getroffen accounts waarschuwen en zegt de beveiliging opgeschroefd te hebben. Daarnaast moeten alle gebruikers hun wachtwoord aanpassen en nieuwe beveiligingsvragen instellen om hun wachtwoord te kunnen herstellen.

Tegelijk met het onthullen van de hack, meldt Yahoo dat aanvallers bij het binnendringen van zijn systemen code hebben ingezien die hen in staat stelde cookies te vervalsen. Dit voorval brengt Yahoo in verband met de hack die het in september bekendmaakte. Met vervalste cookies wisten aanvallers toegang tot accounts te krijgen zonder dat ze een wachtwoord hadden. Er zouden aanwijzingen zijn dat die aanval afkomstig was van staatshackers. Of dat bij de nu gemelde aanval ook het geval is, is niet bekend.

Reacties (82)

Wijzig sortering
Deze mail vanmorgen ontvangen.

Dear Michel,
We are writing to inform you about a data security issue that may involve your Yahoo account information. We have taken steps to secure your account and are working closely with law enforcement.


What Happened?

Law enforcement provided Yahoo in November 2016 with data files that a third party claimed was Yahoo user data. We analyzed this data with the assistance of outside forensic experts and found that it appears to be Yahoo user data. Based on further analysis of this data by the forensic experts, we believe an unauthorized third party, in August 2013, stole data associated with a broader set of user accounts, including yours. We have not been able to identify the intrusion associated with this theft. We believe this incident is likely distinct from the incident we disclosed on September 22, 2016.


What Information Was Involved?

The stolen user account information may have included names, email addresses, telephone numbers, dates of birth, hashed passwords (using MD5) and, in some cases, encrypted or unencrypted security questions and answers. Not all of these data elements may have been present for your account. The investigation indicates that the stolen information did not include passwords in clear text, payment card data, or bank account information. Payment card data and bank account information are not stored in the system we believe was affected.


What We Are Doing

We are taking action to protect our users:

We are requiring potentially affected users to change their passwords.
We invalidated unencrypted security questions and answers so that they cannot be used to access an account.
We continuously enhance our safeguards and systems that detect and prevent unauthorized access to user accounts.
What You Can Do

We encourage you to follow these security recommendations:

Change your passwords and security questions and answers for any other accounts on which you used the same or similar information used for your Yahoo account.
Review all of your accounts for suspicious activity.
Be cautious of any unsolicited communications that ask for your personal information or refer you to a web page asking for personal information.
Avoid clicking on links or downloading attachments from suspicious emails.
Additionally, please consider using Yahoo Account Key, a simple authentication tool that eliminates the need to use a password on Yahoo altogether.


For More Information

For more information about this issue and our security resources, please visit the Yahoo Security Issues FAQs page available at https://yahoo.com/security-update.

Protecting your information is important to us and we work continuously to strengthen our defenses.

Sincerely,

Bob Lord
Chief Information Security Officer
Yahoo
Oei, "hashed passwords (using MD5)" misschien voldoende 10 jaar geleden. Blijft me verbazen dat dit toch altijd weer voorkomt. Zou op mijn werk toch niet echt meer gewaardeerd worden als dit gebruikt wordt. MD5 is echt not done voor wachtwoord hashing.

[Reactie gewijzigd door markinator op 15 december 2016 08:43]

Zelfs 10 jaar geleden kon het al gebruteforced worden. Probleem is is dat hackers nu een serieuze set aan wachtwoorden in handen heeft, en daarmee een redelijk accurate wordlist kan genereren.

Yahoo sliep en dat dacht hun beveiliging wel snor zat, dus niet. :X
De wachtwoorden van nu en private Keys kunnen over 10 jaar ook ge brute forced worden.
En daarom moet je om de zoveel tijd je beveiliging upgraden. Zeker voor een miljoenen bedrijf met miljoenen gebruikers zou dit geen obstakel moeten zijn.
Inderdaad maar dit maar veel bedrijven zijn te "lui" om dit te doen.
Heel andere orde van grootte.

MD5 heeft bekende collision problemen. Zolang er geen probleem is met het protocol zelf is een private key gebaseerd op RSA4096 over 10 jaar net zo moeilijk te kraken als nu.

50 miljard keer het bestaan van het heelal vs 49,999999 miljard keer het bestaan van het heelal.
Mits er voor RSA4096 geen collision problemen bekend worden.
Misschien net zo makkelijk maar de hardware is heel anders. 10 jaar geleden zou het brute forced van de huidige m5 ook jaren duren.
Als MD5 geen collisions zou kennen was het ook met de huidige hardware nog nauwelijks te kraken (denk aan 1-2 jaar per key)

Bij RSA 4096 heb je het over meer dan MILJARD x MILJARD jaar. per key. Ook al wordt de hardware de komende 10 jaar een miljard keer sneller (ter vergelijking we zitten op nog geen factor 100 in de afgelopen 10 jaar) dan duurt het nog een miljard jaar om te kraken.
Hier legt Yahoo uit hoe je erachter kan komen of je account gehackt is:

http://amp.ibtimes.co.uk/...cked-what-do-next-1582941

Overigens echt belachelijk. Zo'n groot bedrijf hoort de verantwoordelijkheid te nemen. Tegenwoordig kan je op geen enkel bedrijf meer vertrouwen met je persoonsgegevens. En van de redenen waarom ik heel voorzichtig ben met accounts aanmaken.

[Reactie gewijzigd door AnonymousWP op 15 december 2016 08:06]

Vreemd... Ik heb die email ook gekregen. Maar nu probeer ik in te loggen (via password recovery, want ik heb geen idee van of of voor wat ik ooit een account daar gehad heb), maar ik krijg terug dat mijn mail onbekend. Het is wel het adres waarop die waarschuwingsmail verzonden is. Zijn mijn gegevens nu buitgemaakt of niet? :?
Weet je zeker dat het dt e-mail adres is? Probeer anders eens een ander e-mail adres.
Ja, dat weet ik zeker. Ik zie toch op welk adres de waarschuwing binnengekomen is?
Dat is waar. Weet ik ook wel, maar hmm.. Kan het niet zijn dat je het e-mail adres hebt ingevoerd als secundair e-mail adres? Dat hij het stuurt naar je secundaire.

Anders gewoon even contact opnemen met Yahoo.
Je bent zelf verantwoordelijk voor jouw gegevens. Door ze over te dragen aan wie dan ook loop je deze risico's.

Het laatste wat je zegt klopt. Zo min mogelijk vrij geven of valse informatie geven. Ga er maar van uit dat niemand te vertrouwen is met jouw gegevens, ook onze overheid niet.
De schade hiervan is haast niet te overzien, ook al heb je hier geen direct account bij yahoo.
Voornamelijk vanwege het feit dat password dictionary's hiermee steeds completer en lifelike worden; http://arstechnica.com/se...-sloppiness-hurts-us-all/

En gezien het verschil in omvang 6 mil (linkedIn destijds) vs de 1miljard nu.. :X
Hier is Yahoo Knowledge Base artikel. SLN27925 Die altijd up2date is. Met f.a.q.

Yahoo Security Notice December 14, 2016

https://help.yahoo.com/kb/account/SLN27925.html?impressions=true

[Reactie gewijzigd door Hieronymus.B op 15 december 2016 13:26]

Waarom komen we er elke keer achteraf pas achter dat gehackte bedrijven hun password hashing mechanisme waardeloos is?!

Ik denk dat het tijd wordt voor wetgeving op dit gebied.

[Reactie gewijzigd door ArtGod op 15 december 2016 08:33]

Ik snap je punt wel, maar hoe zie je dat voor je want bijna alles is uiteindelijk te hacken? Ik ben wel benieuwd
Je kan bijvoorbeeld in wetgeving opnemen dat passwords nooit in cleartext mogen worden opgeslagen, gehashed moeten worden met SHA-256 en een salt moeten bevatten van 64-bits minimaal.
Dat is voor nu inderdaad prima, maar voor over 10 jaar? Denk het niet meer. In de wet wordt (in volgens mij artikel 13 voor persoonsgegevens) gesproken over 'passende maatregelen'. Nu is dat een interpreteerbaar begrip, maar ik denk dat we met z'n allen wel kunnen zeggen dat MD5 hashes niet meer als passend ervaren mogen worden. Zeker niet als je kijkt hoe snel je MD5 hashes kan kraken met bijv. een rainbow table.
Ik denk dan ook dat je geen specifieke maatregelen op moet nemen in de wet.
Misschien een verwijzing naar een AMVB waarin specifieke eisen worden beschreven die de wet dan kan gebruiken om terug te vallen op 'passende maatregelen'.
Zoiets.

Je kan ook een controleorgaan oprichten (bijvoorbeeld de autoriteit persoonsgegevens in NL of de privacycommissie in BE).
Deze kunnen dan minimumstandaarden opleggen voor het opslaan van gegevens.

Je kan dan ook met verschillende 'tiers' gaan werken naargelang de gevoeligheid van de info.
Persoonlijk denk ik dat SHA-256 over tien jaar nog steeds veilig is.

Maar goed, zo niet dan pas je de wetgeving aan naar SHA-3-256 met 1 miljoen iteraties.

Als je de weg op gaat moet je voertuig ook aan minimale eisen voldoen. Ik zie niet in waarom dit soort technische eisen voor computer beveiliging niet door een goedkeurings-instantie gemaakt kunnen worden.

[Reactie gewijzigd door ArtGod op 15 december 2016 09:36]

Je hebt gedeeltelijk gelijk.
Uiteraard bestaan er eisen waaraan een voertuig moet voldoen, maar deze staan ook niet in de wet.
Dus 'de wetgeving aanpassen' om Sha-3-256 te gaan gebruiken is nogal zinloos.
Dit soort specifieke zaken worden vastgelegd in besluiten, verordeningen en regelingen, niet in een wet. Vandaar dat het heet "wet- en regelgeving.

En ja, men mag de regels over wat passende maatregelen zijn wel wat verduidelijken en aanscherpen wat mij betreft.
Klopt, ik bedoel eigenlijk dat via wetgeving een keuringsinstantie moet komen voor computer beveiliging die dit soort eisen kan stellen.
Dat zou wel een prima oplossing zijn. Ik weet dat dat in enkele markten in ieder geval instanties zijjn die al controleren, hoever dit wettelijk verplicht is, is me niet geheel duidelijk.

Voor de financiele markt heb je het AFM en de DNB. De DNB controleert op hun eigen framework voor information risk en waar o.a. wachtwoorden ook een onderwerp van zijn. Volgens mij heb je in de health markt enkele kwaliteitsnormen waaraan voldaan moet worden (NEN7510) en kwaliteitsmodellen waarop getoetst wordt (INK, NICTIZ oid.). Echter is de invulling daarvan discutabel gezien zij niet specifiek op controls toetsen, scope bepaald kan worden etc. en ze voornamelijk kwalitatief checken.
Maar goed, zo niet dan pas je de wetgeving aan naar SHA-3-256 met 1 miljoen iteraties.
Als je de weg op gaat moet je voertuig ook aan minimale eisen voldoen. Ik zie niet in waarom dit soort technische eisen voor computer beveiliging niet door een goedkeurings-instantie gemaakt kunnen worden.
Die technische eisen zijn niet zo technisch als het aangeven van "SHA-3-256" en ze staan zeker niet in een wet. Ze staan in een norm waar de wet naar verwijst ;)
Die norm wordt dan aangepast wanneer nodig. Dat is makkelijker dan steeds een technisch-onkundig parlement te laten stemmen over een wet vol technische specificaties.
Maar eigenlijk is specificaties in verplichte normen opnemen een ondoenlijke klus voor digitale beveiliging. De ontwikkelingen gaan daarvoor te snel, en van de ene op de andere dag kan een veilig geacht systeem plotseling niet meer veilig zijn. Dan verwijzen bedrijven dan gewoon naar de normen waar ze aan voldaan hebben - en gaan ze 'vrijuit'.
Wat dat betreft heb je dus meer aan een algemene wet, waarin getoetst wordt of een bedrijf niet gewoon wist of kon verwachten dat de gebruikte beveiliging faalde - zo kan schuld ook bewezen worden op basis van common practice, te verwachten expertise en verantwoordelijkheid, ongacht de techniek dus.

[Reactie gewijzigd door Fireshade op 15 december 2016 10:59]

Een combinatie kan ook: Een keuringsdienst die minimale eisen opstelt en wanneer nodig bijstelt en daarnaast altijd nog de eigen verantwoordelijkheid kennis en materiaal op orde te houden, met boetes en controles.

Zo is het ook bij pakweg een landbouwer die groente teelt. Vergis je niet, ook daarbij kan een middel van de ene op de andere dag verboden worden door voortschrijdende kennis.
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
Wet Bescherming Persoonsgegeven: artikel 13

Dus het is hier in Nederland al een wet. (Niet heel erg specifiek maar het is er wel)

Of een amerikaans bedrijf daar rekening mee gaat houden.. geen idee.

Persoonlijk snap ik ook niet waarom zulke grote bedrijven bijvoorbeeld nog geen BCrypt gebruiken voor wachtwoorden en van snellere (simpelere) hashing algoritmes voor beveiligings wachtwoorden..

BCrypt is er toch al een aantal jaar en is nog steeds niet-gekraakt.
En wat zou je dan willen vastleggen? Verplicht bepaalde algoritmen moeten gebruiken? Dit lijkt mij niet wenselijk omdat een voorgeschreven algoritme lang niet altijd de beste oplossing biedt in elke situatie. Duidelijke en hoge sancties? Die zijn er al in hier in NL o.a. in de vorm van de Meldplicht Datalekken. Audit? Ook die worden door diverse security standaarden al afgedwongen of voorgeschreven.

Wetgeving op dit vlak zou internationaal en eigenlijk wereldwijd moeten zijn. Veelal lekken gegevens bij bedrijven die elders ondergebracht zijn zoals ook in het geval van Yahoo. Daarmee loop je tegen dermate veel praktische bezwaren aan dat dit er niet zal komen. Ik zie afdoende wetgeving niet als haalbare optie de komende jaren.
Verplichte securityaudits door onafhankelijk gerenommeerde experts. Minimaal 1x per jaar.
Interessant maar ook dat is lang niet altijd voldoende. De ene audit is de andere niet (wat ook geldt voor de gerenommeerde experts). Dan zal er eerst een verplichte methode om de audit uit te voeren moeten komen vrees ik (op basis van ervaring met diverse audits) en dan nog is een audit beperkt in reikwijdte.
Niets is perfect maar wat hier gebeurt is was niet nodig. De kans op dit soort problemen kan een stuk kleiner gemaakt worden met betrekkelijk weinig moeite. Zeker voor bedrijven van de omvang geen excuus qua kosten en kennis.
Al de 2e keer dat mijn yahoo account gehacked is, ik ben er klaar mee. Ik stap over op hotmail.com (aangezien in gmail mijn echte naam niet meer beschikbaar is)
neem dan outlook.com
komt toch iets beter over :-)
Je kan ook hotmail.nl proberen. Mogelijk door obscurity iets minder onveilig ;-)

Zelf zou ik bij een provider gaan die expliciet in een bepaald land zit en beslist niet een provider die wereldwijd van alles aanbied. Het bepaalde land kan je zelf kiezen, afhankelijk van je eisen en wensen ten aanzien van wereldwijde bekendheid. Ga er gerust van uit dat alles wat je on-line doet ooit wereldwijd on-line gaat.

Om kort te gaan: yahoo heeft in 2013 leergeld betaald maar moest toen naar nu blijkt op herhaling.
Of je stalt je mail *niet* bij een multinational met een zoekmachine, die alle mogelijke data van zijn gebruikers verzameld om geld mee te verdienen.

Voor een habbekrats heb je je eigen hosting, inclusief mail.
Je kunt je mail adressen aanmelden op https://haveibeenpwned.com . Op het moment dat er e-mail adressen te koop aan worden geboden, of uitlekken, ontvang je automatisch een bericht wanneer jouw e-mail adres daarin voortkomt. Is een tip van Mikko Hypponen van F-Secure die hij in n van zijn presentaties meegaf . Ik heb voor diverse kennissen hun mail adressen aangemeld en bij een aantal bleek dat ze al een tijdje "gePowned" bleken te zijn.

[Reactie gewijzigd door regmaster op 15 december 2016 09:34]

Goede tip, maar het is geen garantie dat als je daar niet op voorkomt dat je niet gepwnd bent natuurlijk.
Aardig, maar gezien de hoeveelheid spam op mijn yahoo account en het feit dat ik daar als niet-pwned sta, ga ik er van uit dat die site alleen 'pwned' kan aangeven. Sta je daar als niet 'pwned' dan kan het alsnog mis zijn.
Lol, alweer eentje.... 8)7

edit: was 2 minuten later dan Mexel met het mailtje kopieren en formatten. Voor de grootte van het bericht heb ik hem maar even wegge-edit.

Wat ik me dan afvraag... Deze hacks zijn alleen bij Yahoo gebeurd, of kunnen we dit soort berichten van andere email aanbieders verwachten?

[Reactie gewijzigd door cinisi op 15 december 2016 07:45]

Deze hacks zijn alleen bij Yahoo gebeurd, of kunnen we dit soort berichten van andere email aanbieders verwachten?
Wat niet naar buiten komt weten we niet, deze hack weten we dus nu 3 jaar na dato.
Ja, dat begrijp ik. Dat was ook de strekking van mijn vraag :)

Ik weet ook dat in de auto-branch er merken zijn die openlijk terugroep acties doen (bv. Toyota), en merken waarin na een beurt op de bon blijkt dat er onderdelen zijn vervangen en waar je dus niets van hoort. Maar onder water is er hetzelfde aan de hand geweest.

Ik gebruik Yahoo al jaren niet meer, ik check het af en toe als ik voor games een extra account wil registreren. Maar ik zou het bijzonder vinden als dit soort hacks alleen bij de diensten van Yahoo zijn voorgekomen en niet bij bv. Live/Hotmail, Google, etc.

Maarja, zoals je al aangeeft, als het niet naar buiten komt zullen we het misschien nooit weten!
En dat is dus een probleem bij digitale dienst, als het betreffende bedrijf niet open is, weten wij het pas. Nadat bewijs in het openbaar terecht is gekomen of iemand de data probeerd te verkopen.

Gelukkig zijn alle bedrijven te vertrouwen met onze data ;)
Heb het wachtwoord van mijn Yahoo-account enkele maanden geleden gewijzigd en er toen meteen een extra authenticatiemethode (code via telefoon) aan gekoppeld. Wat er in de systemen van Yahoo zelf aan zwakheden aanwezig is, weet ik natuurlijk niet, maar op deze manier heb ik van mijn kant volgens mij de risico's dichtgetimmerd.
Negatieve gedachte: Dus de hackers hebben nu ook nog eens je telefoonnummer als Yahoo dat niet slim opgelost heeft? dus ook al moet je het iedere keer invoeren..
Het bezitten van mijn telefoonnummer geeft de hackers geen mogelijkheid om op mijn Yahoo account in te breken. Daarvoor hebben ze m'n telefoon zelf (en toegang daarop) en mijn Yahoo inlognaam en -wachtwoord nodig.
Je voert met zo'n dubbele authenticatie niet je telefoonnummer in, maar een via sms toegestuurde authenticatiecode (naast je inlognaam en -wachtwoord)..
Soms denk je al schrijvende dat je duidelijk genoeg bent..
Ik bedoelde niet dat de hacker die nu je GSM kent daarmee je account kan hacken, maar meer dat hij nu (misschien) dat nummer in bezit heeft en net als een mailadres heeft dat enigerlei waarde voor groepen die daar wat mee kunnen.
Vandaag nog een artikel gelezen over dat het kopieren van paspoorten door verhuurders van auto's, hotelkamers en dergelijke verboden zou moeten worden. Daarmee geef je je BSN nummer weg, wat genoeg -kan- zijn om last van te krijgen. Nu zal een gekocht emailadres niet direct persoonsfraude opleveren, maar op veel sites is je mailadres nu eenmaal je klant-id.
Hoezo moet yahoo dat slim oplossen? Jij heb jou telefoonnummer aan yahoo gegeven en aan nog een paar andere instanties. Daar heb je mogelijk/waarschijnlijk/misschien/.... ook je yahoo email adres achtergelaten. Dus die combinatie kan altijd via andere kanalen verkregen worden.
Ik vraag me af of Yahoo berhaupt nog wat waard is na al deze aankondigingen van hacks? Over de overname door Verizon heb ik de laatste tijd weinig meer vernomen. Ik vermoed dat Verizon steeds minder wil betalen.

Ik kan mij voorstellen dat de meeste Yahoo gebruikers hun email downloaden (via POP) en daarna bij een andere provider onderbrengen, of gewoon zelf een email domein nemen.

[Reactie gewijzigd door ArtGod op 15 december 2016 08:00]

Yahoo is niet alleen maar e-mail.
Een door je beheerde Yahoo groep met bijna 1000 leden verplaats je niet zomaar even naar elders.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*