×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoek: vervalste cookies gaven toegang tot 32 miljoen Yahoo-accounts

Door , 48 reacties

Yahoo heeft de uitkomsten bekendgemaakt van een onderzoek naar toegang tot accounts door middel van vervalste cookies. Daaruit blijkt dat aanvallers 32 miljoen accounts konden binnendringen in 2015 en 2016.

YahooIn zijn jaarlijkse rapport schrijft Yahoo dat het waarschijnlijk om dezelfde nationale partij gaat als de verantwoordelijke voor de diefstal van 500 miljoen accountgegevens in 2014. In december maakte het internetbedrijf bekend dat er wellicht toegang tot accounts had plaatsgevonden met behulp van cookies. Daarover zegt het nu dat een derde partij toegang had tot de 'gepatenteerde code', waardoor deze in staat was om cookies te vervalsen. Voor de 32 miljoen getroffen accounts geldt dat de cookies waren 'gestolen of gebruikt'. Op welke manier dat precies gebeurde, maakt Yahoo niet bekend.

Uit het rapport blijkt verder dat Yahoo er in 2014 van op de hoogte was dat een derde partij toegang had tot gebruikersaccounts. Destijds nam het de beslissing om 26 gebruikers, op wie de aanvallen specifiek gericht waren, daarover te informeren. Het onderzoek naar het voorval wijst verder uit dat sommige leden van het bestuur van het bedrijf onjuist op de informatie hebben gereageerd door geen actie te ondernemen.

In een eigen blogpost liet Yahoo-ceo Marissa Mayer weten dat zij afziet van haar jaarlijkse bonus en dat zij deze laat uitbetalen aan de werknemers. Het gaat om een cashbonus van twee miljoen dollar en aandelen van meerdere miljoenen dollars. Yahoo bevindt zich in een overnametraject met de Amerikaanse provider Verizon. Onlangs bleek dat de koopprijs met 350 miljoen dollar werd verlaagd naar aanleiding van de beveiligingsincidenten. Bij een andere hack in 2013 werden een miljard gebruikersaccounts buitgemaakt.

Door Sander van Voorst

Nieuwsredacteur

02-03-2017 • 10:21

48 Linkedin Google+

Reacties (48)

Wijzig sortering
Een jaar geleden is er spam verstuurd vanuit mijn mailbox naar mijn persoonlijke contacten. Tot ik 2 weken geleden deze email kreeg wist ik nog steeds niet hoe dat kwam

Dear ...,

We are writing to inform you about a data security issue that involves your Yahoo account. We have taken steps to secure your account and are working closely with law enforcement.

Our outside forensic experts have been investigating the creation of forged cookies that could allow an intruder to access users’ accounts without a password. Based on the ongoing investigation, we believe a forged cookie may have been used in 2015 or 2016 to access your account. We have connected some of the cookie forging activity to the same state-sponsored actor believed to be responsible for the data theft we disclosed on September 22, 2016. Those users targeted by the state-sponsored actor were sent an additional notification like the one found here: https://help.yahoo.com/kb/SLN26995.html.

We invalidated the forged cookies and hardened our systems to secure them against similar attacks. We continuously enhance our safeguards and systems that detect and prevent unauthorized access to user accounts.

We encourage you to follow these security recommendations:
• Review all of your accounts for suspicious activity.
• Be cautious of any unsolicited communications that ask for your personal information or refer you to a web page asking for personal information.
• Avoid clicking on links or downloading attachments from suspicious emails.
Additionally, please consider using Yahoo Account Key, a simple authentication tool that eliminates the need to use a password on Yahoo altogether.

For More Information

For more information about this issue and our security resources, please visit the Yahoo Account Security Issue FAQs page available at https://yahoo.com/security-update.

Protecting your information is important to us and we work continuously to strengthen our defenses.

Sincerely,

Bob Lord
Chief Information Security Officer
Yahoo
state-sponsored actor
Denk eerder gewoon een partij die heel veel geld verdient met het versturen van SPAM.

Ik zou het interessanter vinden als ze vertellen hoe de cookies geforged zijn. Zwakke hash in de cookie? Geen cookie encryption? Key gelekt van de encryptie?
Ik been geen kenner op dit gebied, maar dit klinkt als een persistent cookie die 'remember me' toelaat. De content van de cookie is mischien gegenereerd aan de hand van wat iets bekend is zoals email, en iets dat onbekend zou moeten zijn, sort van secret key.

De aanvallers wisten code te vinden die deze cookies maakt met de secret key waarbij je dus dit sort cookies kunt genereren.

Het is maar een gok... Maar zo lijkt het er wel op.
In het artikel wordt aangegeven dat er specifiek op 26 gebruikers gericht was. Dat in combinatie met een 'state-sponsored actor' klinkt toch veel meer als een actie van ťťn van de Amerikaanse overheids instellingen (CIA/FBI/NSA).
In ieder geval heeft Verizon er al 350miljoen mee verdiend...
Hoe kan je nou een cookie hacken als de verbinden via TLS gaat? Of hadden ze weer bepaalde delen niet versleuteld van de pagina?
Als mijn cookie voor tweakers als data "username=latka&loggedIn=true" zou zijn dan denk ik dat ik jou login cookie ook wel kan raden. HTTPS helpt hier niets bij.
Zo eenvoudig zal het niet zijn. Ik neem aan dat authenticatie cookies ook geŽncrypteerd worden en dus moet je de encryptiesleutel hebben die op de server staan.
En daar zit het probleem: "ik neem aan". De keren dat de encryptie base64 bleek te zijn kan ik niet meer tellen op de vingers van 1 hand. Ook niet binair op 1 hand geteld.
Of wellicht krijg jij elke keer dezelfde token en blijkt dat je met een simpel algoritme deze kunt genereren van je eigen login naam en datum van registratie.

Waarna je dit zelfde toepast bij andere data en je met ern nachtje genereren alles hebt.
HTTPS helpt bij het onderscheppen van het cookie door een kwaadwillende, maar helpt idd niet als https niet verplicht gesteld wordt (een cookie kun je als 'secure' aanmerken, dan zal hij nooit over een niet-beveiligde verbinding verstuurd worden door de browser), en zal ook niet helpen als de inhoud (bijv. een token) gekraakt of geraden kan worden zoals je zelf al zegt.
Als ik het goed lees, hadden ze de "gepatenteerde" cookie formule te pakken gekregen, en vervolgens hebben ze met die manier zoveel nep cookies gemaakt. En van 32 miljoen accounts is bekend dat er toegang is geweest met zo'n nep cookie.

Andersom, een cookie blijft vaak achter op een PC, en is nog wel eens cross site te benaderen. Als dan de standaard fout wordt gemaakt, waarbij een http cookie wordt geplaatst in een HTTPS sessie (veelal door ssl-offloading d.m.v. een loadbalancer --> webserver doet http traffic, loadbalancer voegt SSL toe, maar cookie is un-encrypted want webserver is niet bewust van https) Dan is de data van zo'n cookie toch makkelijk te kraken.
Ze geven wel aan: gestolen of gebruikt. Als Yahoo bijvoorbeeld Oauth tokens uitdeelt en deze cookies hebben ze gestolen hoeven ze zelfs niets te kraken. Een oauth token is vergelijkbaar met een huissleutel. De persoon die een 'verloren' sleutel 'vindt' kan hem gebruiken. Om die reden kan het ook gevaarlijk zijn om persoonlijke URL's door te spelen. Overigens biedt OpenID Connect een layer over Oauth om de identiteit van de persoon te valideren.
Ja en er is een kwetsbaarheid bekend voor crossdomain OAuth. Als je dan ook nog zwakke sleutels gebruikt met een publiek, want gepatenteerd, algoritme. Dan is dat vragen om moeilijkheden.

Maar goed, uit eigen ervaring week il hoe moeilijk het is om sommige managers te laten acteren op dit soort risico's...

Als je pech hebt ben je een van de 1,8 miljoen Nederlandse klanten bij een bedrijf dat vergelijkbare onveilige persistente cookies gebruikt.
Dit is toch wel typerend voor de gemiddelde gebruiker. 2013.. alle accounts gehacked, 2014, wederom hacks, 2015 idem, 2016.. weer. En de gewone gebruiker blijft vrolijk Yahoo gebruiken.
Onbegrijpelijk, maar het zegt wel veel over de privacy waarde die mensen echt hebben..
Het is niet bekend wat er met de gegevens gebeurt is.

Voor hetzelfde geld zijn de servers van Facebook, Google en Microsoft ook gehacked.


Zolang niet breed wordt uitgemeten wat er met de gegevens gebeurt is blijft het relatief stil. Zo gauw mensen merken dat het gevolgen heeft in de vorm van financieel verlies al dan niet in de vorm van economische data, dan wordt er heel hard op de rem getrapt.


Als je het mij vraagt hebben partijen als NSA al een vorm van toegang bij dergelijke multinationals, de kans dat nog een andere partij zichzelf de toegang verschaft acht ik groot, echt verbaast ben ik dus niet.
Groot verschil is, dat het niet bekend is van alle andere partijen die je noemt, en de NSA toch wel zijn wegen heeft.. het punt is meer, dit is nou al 4 keer wereld nieuws geweest en toch blijven heel veel mensen stug het spul gebruiken...
Daarnaast ben ik niet verbaast, maar ik vind het wel onbegrijpelijk ..
Het gros van de gebruikers maakt niet bewust die afweging of de dienst 'veilig' is of niet. Ze maken gewoon achteloos een account aan of blijven die achteloos te gebruiken. Het gros van de mensen is niet beister tech savvy, als ze uberhaupt al rationeel nadenken.

Je hebt echt ingrijpen van bovenaf nodig om dit soort zaken te stoppen, want verder ligt het enkel aan het commerciele vraagstuk of zo'n bedrijf er mee door blijft gaan of niet (oftewel: kan ik nog winst blijven maken).
Maar al die hackbeurten waren niet gekend tot recent.
Ik deed ook niet veel meer met Yahoo. Ik had er een spam adres die het weer doorstuurde naar mijn echte mail adres met goede filters. Ooit dit adres wel echt gebruikt omdat het er allemaal wel goed uit zag.
Maar nu toch maar weg gedaan om alle verhalen. De frontpage met nieuws en andere sites van Yahoo gebruikte ik sowieso al lang niet meer.
Inplaats van die 2 miljoen te investeren in beveiliging .. Naar de werknemers is trouwens ook niet verkeerd moet ik zeggen.
Plus de waarde van de aandelenbonus he. Al met al geen vervelend bedrag en een mooi gebaar naar je mensen. Zouden heel wat topmensen die pakken wat ze pakken kunnen voor ze het zinkende schip verlaten een voorbeeld aan kunnen nemen.
... dat een derde partij toegang had tot de 'gepatenteerde code' ...

Als dat het probleem is, breekt mijn klomp. Een essentieel aspect van patenteren is immers dat de details van een uitvinding worden gepubliceerd, in een patent, dat in principe voor iedereen toegankelijk is.

Als je iets geheim wilt houden moet je het juist niet patenteren!
Je kunt best het algoritme achter AES publiceren. Maar geef niet je sleutel erbij. Ik weet ook precies hoe jouw voordeur cilinderslot werkt maar ken niet de exacte vertanding van jouw specifieke cilinder. Als je iets geheim moet houden om het veilig te maken moet je nog even afvragen wat je precies aan het doen bent.
Ik weet niet wat er in dat patent staat, maar hoe dan ook, het is een van tweeŽn:

- Als ze in een patent iets hebben geopenbaard wat geheim had moeten blijven, is dat een grote stommiteit.
- Als ze dat niet hebben gedaan, dan klopt het van geen kanten om dat als verklaring voor de hack aan te voeren.
Het is wat mij betreft wel tijd om Yahoo op te doeken :X
Kunnen ze niet beter cookies opdoeken?
Zijn we gelijk van de cookiewall af
Cookies zijn een sleuteldeel van je huidige internet ervaring... Het wordt alleen (vaak) misbruikt voor tracking en andere privacy zooi. Maar cookies zijn bij normale toepassing onmisbaar.
Maar cookies zijn bij normale toepassing onmisbaar.
Enige onmisbare in een doorsnee website/webapplicatie is de sessie-ID, maar daarvoor zou je de TLS Session-ID kunnen nemen mits er HTTPS wordt gebruikt. Echt heel praktisch is het niet, want de lifetime van de sessie is nogal oncontroleerbaar. Ook integratie met andere applicaties wordt praktisch onmogelijk (cookies via subdomeinen kan, maar ook Single-Sign-On toepassingen).

Andere kleine stukjes data zoals voorkeuren en 'onthoud mijn gebruikersnaam' zouden via HTML5 local storage kunnen en niet naar de server hoeven te worden gestuurd (maar dan ook alleen beschikbaar in de frontend logica - Javascript).

[Reactie gewijzigd door gertvdijk op 2 maart 2017 10:45]

Zelf het sessie cookie hoeft niet: alles in een form met een hidden input met het sessie id erin.
Form fields zoals hidden input field worden enkel naar de server gestuurd bij een POST request. Bij een GET request dus niet, een cookie daarentegen wel.

De enige manier om geen cookie te hebben, is door de cookie waarde als url parameter te versturen.
Dat is nog ranziger (om de woorden van gertvdijk hierboven te gebruiken) dan alles als POST doen. Een beetje zoals ik het deed in 1999 met web 1.0 tech. Maar technisch is er idd. geen reden voor cookies tijdens een sessie. Alleen over sessies heen.
Dan krijg je altijd een POST request voor alles? Meh. Vind ik wel ťrg creatief -> 'ranzig'. :+
Cookies kunnen veilig genoeg gemaakt worden, mits je maar een aantal maatregelen neemt:

* stel het domein in
* https only (secure flag)
* same-site (redelijk nieuw, wordt nog lang niet door alle browsers ondersteund)
* origin / verzender checken
* koppelen aan IP adres (doet t.net bijvoorbeeld)

etc.
En encrypt de data met een sleutel die alleen op de server bekend is. De rest is tegen stelen, encrypten is tegen raden. Als je alles doet wat je voorsteld en dit vergeet kun je net zo goed stoppen met alles maatregelen want ik fake je alle cookies de moeder }>
Ach ik gebruik een hash op de server waarmee de sessie hard aan de specifieke browser gekoppeld wordt (browser pinning)
Je kan de cookie jatten, maar als je niet exact dezelfde config hebt kicked de server doodleuk de sessie eraf.
Laat staan als de login ook nog IP-gebonden is.
Cookies kunnen veilig genoeg gemaakt worden, mits
Ah. Voorwaarden. Waar men zich natuurlijk niet altijd aan houdt.
Cookies zijn een sleuteldeel van je huidige internet ervaring... Het wordt alleen (vaak) misbruikt voor tracking en andere privacy zooi. Maar cookies zijn bij normale toepassing onmisbaar.
Nou ik gebruik Self-Destructing Cookies, en heb nooit Cookies in mijn browser staan als ik hem afsluit, of een nieuw Tabblad sluit, en ik ken gewoon heerlijk weken met alle websites waar ik op zit.

Maar kan je zien dat uBlock Origine ook aardig belangrijk is om je veilig te houden, tegen deze rotzooi, samen met Self-Destructing Cookies.
En van alles wat ook maar iets onthoudt. Deze comment is mede mogelijk gemaakt door: cookies. Want ik ben ingelogd.

[Reactie gewijzigd door lukjah op 2 maart 2017 10:32]

Kan ook zonder cookie door de state te tracken in formulieren. Enige wat cookies toevoegen is dat je als je de site verlaat en terugkomt herkent kan worden zonder opnieuw in te loggen. En precies dat is misbruikt bij Yahoo.
Hoe bedoel je de site verlaat? Als ik twee keer een GET doe, weet de server ook niet meer wie ik was.

En daarbij komt dat cookies gebruikt kunnen worden met antiforgerytokens op je form. In jouw geval kan dat niet en is spammen van forms extra makkelijk.
Dan in de URL. Punt is: session management kan met cookies, maar hoeft niet. State over sessies heen moet met cookies.
Maar in Url is het wel makkelijk te sniffen. Https cookies zijn dan lastiger om te vangen als mitm
URL op https lukt ook niet erg.
Dat is waar. Het komt alleen wel terug in bijvoorbeeld logs en analytics zoals Google. Sessie hijacking is dan erg eenvoudig. Volgens mij zijn cookies, mits goed ingezet veiliger. Ook kan je state en auth prima scheiden.
Allemaal waar, maar het valt of staat met encrypted cookies ipv. waardes die je kunt voorspellen. De rest is bijzaak.
Wie kan mij uitleggen waarom die cashbonus naar de werknemers gaat? Moedigt dit niet juist aan om af een toe een steekje te laten vallen... Zou die bonus niet gewoon gestoken moeten worden in de verbetering van de afdeling die dit soort incidenten hoort te voorkomen?

[Reactie gewijzigd door Erikvl87 op 2 maart 2017 17:06]

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*