Onderzoek: vervalste cookies gaven toegang tot 32 miljoen Yahoo-accounts

Yahoo heeft de uitkomsten bekendgemaakt van een onderzoek naar toegang tot accounts door middel van vervalste cookies. Daaruit blijkt dat aanvallers 32 miljoen accounts konden binnendringen in 2015 en 2016.

YahooIn zijn jaarlijkse rapport schrijft Yahoo dat het waarschijnlijk om dezelfde nationale partij gaat als de verantwoordelijke voor de diefstal van 500 miljoen accountgegevens in 2014. In december maakte het internetbedrijf bekend dat er wellicht toegang tot accounts had plaatsgevonden met behulp van cookies. Daarover zegt het nu dat een derde partij toegang had tot de 'gepatenteerde code', waardoor deze in staat was om cookies te vervalsen. Voor de 32 miljoen getroffen accounts geldt dat de cookies waren 'gestolen of gebruikt'. Op welke manier dat precies gebeurde, maakt Yahoo niet bekend.

Uit het rapport blijkt verder dat Yahoo er in 2014 van op de hoogte was dat een derde partij toegang had tot gebruikersaccounts. Destijds nam het de beslissing om 26 gebruikers, op wie de aanvallen specifiek gericht waren, daarover te informeren. Het onderzoek naar het voorval wijst verder uit dat sommige leden van het bestuur van het bedrijf onjuist op de informatie hebben gereageerd door geen actie te ondernemen.

In een eigen blogpost liet Yahoo-ceo Marissa Mayer weten dat zij afziet van haar jaarlijkse bonus en dat zij deze laat uitbetalen aan de werknemers. Het gaat om een cashbonus van twee miljoen dollar en aandelen van meerdere miljoenen dollars. Yahoo bevindt zich in een overnametraject met de Amerikaanse provider Verizon. Onlangs bleek dat de koopprijs met 350 miljoen dollar werd verlaagd naar aanleiding van de beveiligingsincidenten. Bij een andere hack in 2013 werden een miljard gebruikersaccounts buitgemaakt.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 02-03-2017 10:2148

02-03-2017 • 10:21

48 Linkedin

Lees meer

FBI: Russische Yahoo-hack begon vermoedelijk met 'spear phishing' Nieuws van 16 maart 2017
Gerucht: Verizon betaalt kwart miljard dollar minder voor Yahoo na hack Nieuws van 15 februari 2017
Yahoo-hack trof meer dan een miljard accounts Nieuws van 15 december 2016
Yahoo: staatshackers stalen gegevens half miljard gebruikersaccounts Nieuws van 22 september 2016
Meer producten en artikelen
Netwerk en systeembeheer Yahoo Security

Reacties (48)

-Moderatie-faq
48
47
26
3
0
18
Wijzig sortering
hertogbram
2 maart 2017 10:39
Een jaar geleden is er spam verstuurd vanuit mijn mailbox naar mijn persoonlijke contacten. Tot ik 2 weken geleden deze email kreeg wist ik nog steeds niet hoe dat kwam

Dear ...,

We are writing to inform you about a data security issue that involves your Yahoo account. We have taken steps to secure your account and are working closely with law enforcement.

Our outside forensic experts have been investigating the creation of forged cookies that could allow an intruder to access users’ accounts without a password. Based on the ongoing investigation, we believe a forged cookie may have been used in 2015 or 2016 to access your account. We have connected some of the cookie forging activity to the same state-sponsored actor believed to be responsible for the data theft we disclosed on September 22, 2016. Those users targeted by the state-sponsored actor were sent an additional notification like the one found here: https://help.yahoo.com/kb/SLN26995.html.

We invalidated the forged cookies and hardened our systems to secure them against similar attacks. We continuously enhance our safeguards and systems that detect and prevent unauthorized access to user accounts.

We encourage you to follow these security recommendations:
• Review all of your accounts for suspicious activity.
• Be cautious of any unsolicited communications that ask for your personal information or refer you to a web page asking for personal information.
• Avoid clicking on links or downloading attachments from suspicious emails.
Additionally, please consider using Yahoo Account Key, a simple authentication tool that eliminates the need to use a password on Yahoo altogether.

For More Information

For more information about this issue and our security resources, please visit the Yahoo Account Security Issue FAQs page available at https://yahoo.com/security-update.

Protecting your information is important to us and we work continuously to strengthen our defenses.

Sincerely,

Bob Lord
Chief Information Security Officer
Yahoo
Anoniem: 84766
@hertogbram2 maart 2017 11:04
state-sponsored actor
Denk eerder gewoon een partij die heel veel geld verdient met het versturen van SPAM.

Ik zou het interessanter vinden als ze vertellen hoe de cookies geforged zijn. Zwakke hash in de cookie? Geen cookie encryption? Key gelekt van de encryptie?
rvt1
@Anoniem: 847662 maart 2017 11:10
Ik been geen kenner op dit gebied, maar dit klinkt als een persistent cookie die 'remember me' toelaat. De content van de cookie is mischien gegenereerd aan de hand van wat iets bekend is zoals email, en iets dat onbekend zou moeten zijn, sort van secret key.

De aanvallers wisten code te vinden die deze cookies maakt met de secret key waarbij je dus dit sort cookies kunt genereren.

Het is maar een gok... Maar zo lijkt het er wel op.
scsirob
@Anoniem: 847662 maart 2017 12:58
In het artikel wordt aangegeven dat er specifiek op 26 gebruikers gericht was. Dat in combinatie met een 'state-sponsored actor' klinkt toch veel meer als een actie van één van de Amerikaanse overheids instellingen (CIA/FBI/NSA).
deboerpp
@Anoniem: 847662 maart 2017 17:21
In ieder geval heeft Verizon er al 350miljoen mee verdiend...
ArtGod
2 maart 2017 10:44
Hoe kan je nou een cookie hacken als de verbinden via TLS gaat? Of hadden ze weer bepaalde delen niet versleuteld van de pagina?
latka
@ArtGod2 maart 2017 10:51
Als mijn cookie voor tweakers als data "username=latka&loggedIn=true" zou zijn dan denk ik dat ik jou login cookie ook wel kan raden. HTTPS helpt hier niets bij.
biglia
@latka2 maart 2017 11:11
Zo eenvoudig zal het niet zijn. Ik neem aan dat authenticatie cookies ook geëncrypteerd worden en dus moet je de encryptiesleutel hebben die op de server staan.
latka
@biglia2 maart 2017 12:47
En daar zit het probleem: "ik neem aan". De keren dat de encryptie base64 bleek te zijn kan ik niet meer tellen op de vingers van 1 hand. Ook niet binair op 1 hand geteld.
djwice
@biglia2 maart 2017 20:29
Of wellicht krijg jij elke keer dezelfde token en blijkt dat je met een simpel algoritme deze kunt genereren van je eigen login naam en datum van registratie.

Waarna je dit zelfde toepast bij andere data en je met ern nachtje genereren alles hebt.
YopY
@latka2 maart 2017 11:10
HTTPS helpt bij het onderscheppen van het cookie door een kwaadwillende, maar helpt idd niet als https niet verplicht gesteld wordt (een cookie kun je als 'secure' aanmerken, dan zal hij nooit over een niet-beveiligde verbinding verstuurd worden door de browser), en zal ook niet helpen als de inhoud (bijv. een token) gekraakt of geraden kan worden zoals je zelf al zegt.
___gjr
@ArtGod2 maart 2017 10:56
Als ik het goed lees, hadden ze de "gepatenteerde" cookie formule te pakken gekregen, en vervolgens hebben ze met die manier zoveel nep cookies gemaakt. En van 32 miljoen accounts is bekend dat er toegang is geweest met zo'n nep cookie.

Andersom, een cookie blijft vaak achter op een PC, en is nog wel eens cross site te benaderen. Als dan de standaard fout wordt gemaakt, waarbij een http cookie wordt geplaatst in een HTTPS sessie (veelal door ssl-offloading d.m.v. een loadbalancer --> webserver doet http traffic, loadbalancer voegt SSL toe, maar cookie is un-encrypted want webserver is niet bewust van https) Dan is de data van zo'n cookie toch makkelijk te kraken.
Korvaag
@___gjr2 maart 2017 11:58
Ze geven wel aan: gestolen of gebruikt. Als Yahoo bijvoorbeeld Oauth tokens uitdeelt en deze cookies hebben ze gestolen hoeven ze zelfs niets te kraken. Een oauth token is vergelijkbaar met een huissleutel. De persoon die een 'verloren' sleutel 'vindt' kan hem gebruiken. Om die reden kan het ook gevaarlijk zijn om persoonlijke URL's door te spelen. Overigens biedt OpenID Connect een layer over Oauth om de identiteit van de persoon te valideren.
djwice
@Korvaag2 maart 2017 20:24
Ja en er is een kwetsbaarheid bekend voor crossdomain OAuth. Als je dan ook nog zwakke sleutels gebruikt met een publiek, want gepatenteerd, algoritme. Dan is dat vragen om moeilijkheden.

Maar goed, uit eigen ervaring week il hoe moeilijk het is om sommige managers te laten acteren op dit soort risico's...

Als je pech hebt ben je een van de 1,8 miljoen Nederlandse klanten bij een bedrijf dat vergelijkbare onveilige persistente cookies gebruikt.
___gjr
2 maart 2017 10:25
Dit is toch wel typerend voor de gemiddelde gebruiker. 2013.. alle accounts gehacked, 2014, wederom hacks, 2015 idem, 2016.. weer. En de gewone gebruiker blijft vrolijk Yahoo gebruiken.
Onbegrijpelijk, maar het zegt wel veel over de privacy waarde die mensen echt hebben..
Iblies
@___gjr2 maart 2017 10:36
Het is niet bekend wat er met de gegevens gebeurt is.

Voor hetzelfde geld zijn de servers van Facebook, Google en Microsoft ook gehacked.


Zolang niet breed wordt uitgemeten wat er met de gegevens gebeurt is blijft het relatief stil. Zo gauw mensen merken dat het gevolgen heeft in de vorm van financieel verlies al dan niet in de vorm van economische data, dan wordt er heel hard op de rem getrapt.


Als je het mij vraagt hebben partijen als NSA al een vorm van toegang bij dergelijke multinationals, de kans dat nog een andere partij zichzelf de toegang verschaft acht ik groot, echt verbaast ben ik dus niet.
___gjr
@Iblies2 maart 2017 10:59
Groot verschil is, dat het niet bekend is van alle andere partijen die je noemt, en de NSA toch wel zijn wegen heeft.. het punt is meer, dit is nou al 4 keer wereld nieuws geweest en toch blijven heel veel mensen stug het spul gebruiken...
Daarnaast ben ik niet verbaast, maar ik vind het wel onbegrijpelijk ..
The Third Man
@___gjr2 maart 2017 11:44
Het gros van de gebruikers maakt niet bewust die afweging of de dienst 'veilig' is of niet. Ze maken gewoon achteloos een account aan of blijven die achteloos te gebruiken. Het gros van de mensen is niet beister tech savvy, als ze uberhaupt al rationeel nadenken.

Je hebt echt ingrijpen van bovenaf nodig om dit soort zaken te stoppen, want verder ligt het enkel aan het commerciele vraagstuk of zo'n bedrijf er mee door blijft gaan of niet (oftewel: kan ik nog winst blijven maken).
preske
@___gjr2 maart 2017 12:17
Maar al die hackbeurten waren niet gekend tot recent.
webbinwebdesign
2 maart 2017 10:30
Ik deed ook niet veel meer met Yahoo. Ik had er een spam adres die het weer doorstuurde naar mijn echte mail adres met goede filters. Ooit dit adres wel echt gebruikt omdat het er allemaal wel goed uit zag.
Maar nu toch maar weg gedaan om alle verhalen. De frontpage met nieuws en andere sites van Yahoo gebruikte ik sowieso al lang niet meer.
Aasas
2 maart 2017 10:30
Inplaats van die 2 miljoen te investeren in beveiliging .. Naar de werknemers is trouwens ook niet verkeerd moet ik zeggen.
Northside
@Aasas2 maart 2017 11:39
Plus de waarde van de aandelenbonus he. Al met al geen vervelend bedrag en een mooi gebaar naar je mensen. Zouden heel wat topmensen die pakken wat ze pakken kunnen voor ze het zinkende schip verlaten een voorbeeld aan kunnen nemen.
Brousant
2 maart 2017 11:59
... dat een derde partij toegang had tot de 'gepatenteerde code' ...

Als dat het probleem is, breekt mijn klomp. Een essentieel aspect van patenteren is immers dat de details van een uitvinding worden gepubliceerd, in een patent, dat in principe voor iedereen toegankelijk is.

Als je iets geheim wilt houden moet je het juist niet patenteren!
latka
@Brousant2 maart 2017 12:50
Je kunt best het algoritme achter AES publiceren. Maar geef niet je sleutel erbij. Ik weet ook precies hoe jouw voordeur cilinderslot werkt maar ken niet de exacte vertanding van jouw specifieke cilinder. Als je iets geheim moet houden om het veilig te maken moet je nog even afvragen wat je precies aan het doen bent.
Brousant
@latka2 maart 2017 14:28
Ik weet niet wat er in dat patent staat, maar hoe dan ook, het is een van tweeën:

- Als ze in een patent iets hebben geopenbaard wat geheim had moeten blijven, is dat een grote stommiteit.
- Als ze dat niet hebben gedaan, dan klopt het van geen kanten om dat als verklaring voor de hack aan te voeren.
Tk55
2 maart 2017 10:24
Het is wat mij betreft wel tijd om Yahoo op te doeken :X
aliberto
@Tk552 maart 2017 10:30
Kunnen ze niet beter cookies opdoeken?
Zijn we gelijk van de cookiewall af
ApexAlpha
@aliberto2 maart 2017 10:31
Cookies zijn een sleuteldeel van je huidige internet ervaring... Het wordt alleen (vaak) misbruikt voor tracking en andere privacy zooi. Maar cookies zijn bij normale toepassing onmisbaar.
gertvdijk
@ApexAlpha2 maart 2017 10:42
Maar cookies zijn bij normale toepassing onmisbaar.
Enige onmisbare in een doorsnee website/webapplicatie is de sessie-ID, maar daarvoor zou je de TLS Session-ID kunnen nemen mits er HTTPS wordt gebruikt. Echt heel praktisch is het niet, want de lifetime van de sessie is nogal oncontroleerbaar. Ook integratie met andere applicaties wordt praktisch onmogelijk (cookies via subdomeinen kan, maar ook Single-Sign-On toepassingen).

Andere kleine stukjes data zoals voorkeuren en 'onthoud mijn gebruikersnaam' zouden via HTML5 local storage kunnen en niet naar de server hoeven te worden gestuurd (maar dan ook alleen beschikbaar in de frontend logica - Javascript).

[Reactie gewijzigd door gertvdijk op 2 maart 2017 10:45]

latka
@gertvdijk2 maart 2017 10:49
Zelf het sessie cookie hoeft niet: alles in een form met een hidden input met het sessie id erin.
biglia
@latka2 maart 2017 11:07
Form fields zoals hidden input field worden enkel naar de server gestuurd bij een POST request. Bij een GET request dus niet, een cookie daarentegen wel.

De enige manier om geen cookie te hebben, is door de cookie waarde als url parameter te versturen.
latka
@biglia2 maart 2017 12:28
Dat is nog ranziger (om de woorden van gertvdijk hierboven te gebruiken) dan alles als POST doen. Een beetje zoals ik het deed in 1999 met web 1.0 tech. Maar technisch is er idd. geen reden voor cookies tijdens een sessie. Alleen over sessies heen.
gertvdijk
@latka2 maart 2017 10:56
Dan krijg je altijd een POST request voor alles? Meh. Vind ik wel érg creatief -> 'ranzig'. :+
YopY
@gertvdijk2 maart 2017 11:09
Cookies kunnen veilig genoeg gemaakt worden, mits je maar een aantal maatregelen neemt:

* stel het domein in
* https only (secure flag)
* same-site (redelijk nieuw, wordt nog lang niet door alle browsers ondersteund)
* origin / verzender checken
* koppelen aan IP adres (doet t.net bijvoorbeeld)

etc.
latka
@YopY2 maart 2017 12:30
En encrypt de data met een sleutel die alleen op de server bekend is. De rest is tegen stelen, encrypten is tegen raden. Als je alles doet wat je voorsteld en dit vergeet kun je net zo goed stoppen met alles maatregelen want ik fake je alle cookies de moeder }>
hackerhater
@latka2 maart 2017 13:53
Ach ik gebruik een hash op de server waarmee de sessie hard aan de specifieke browser gekoppeld wordt (browser pinning)
Je kan de cookie jatten, maar als je niet exact dezelfde config hebt kicked de server doodleuk de sessie eraf.
Laat staan als de login ook nog IP-gebonden is.
stresstak
@YopY2 maart 2017 13:26
Cookies kunnen veilig genoeg gemaakt worden, mits
Ah. Voorwaarden. Waar men zich natuurlijk niet altijd aan houdt.
AmigaWolf
@ApexAlpha2 maart 2017 17:39
Cookies zijn een sleuteldeel van je huidige internet ervaring... Het wordt alleen (vaak) misbruikt voor tracking en andere privacy zooi. Maar cookies zijn bij normale toepassing onmisbaar.
Nou ik gebruik Self-Destructing Cookies, en heb nooit Cookies in mijn browser staan als ik hem afsluit, of een nieuw Tabblad sluit, en ik ken gewoon heerlijk weken met alle websites waar ik op zit.

Maar kan je zien dat uBlock Origine ook aardig belangrijk is om je veilig te houden, tegen deze rotzooi, samen met Self-Destructing Cookies.
lukjah
@aliberto2 maart 2017 10:32
En van alles wat ook maar iets onthoudt. Deze comment is mede mogelijk gemaakt door: cookies. Want ik ben ingelogd.

[Reactie gewijzigd door lukjah op 2 maart 2017 10:32]

latka
@lukjah2 maart 2017 10:50
Kan ook zonder cookie door de state te tracken in formulieren. Enige wat cookies toevoegen is dat je als je de site verlaat en terugkomt herkent kan worden zonder opnieuw in te loggen. En precies dat is misbruikt bij Yahoo.
Anoniem: 84766
@latka2 maart 2017 11:10
Hoe bedoel je de site verlaat? Als ik twee keer een GET doe, weet de server ook niet meer wie ik was.

En daarbij komt dat cookies gebruikt kunnen worden met antiforgerytokens op je form. In jouw geval kan dat niet en is spammen van forms extra makkelijk.
latka
@Anoniem: 847662 maart 2017 12:46
Dan in de URL. Punt is: session management kan met cookies, maar hoeft niet. State over sessies heen moet met cookies.
Anoniem: 84766
@latka2 maart 2017 18:50
Maar in Url is het wel makkelijk te sniffen. Https cookies zijn dan lastiger om te vangen als mitm
latka
@Anoniem: 847662 maart 2017 19:16
URL op https lukt ook niet erg.
Anoniem: 84766
@latka2 maart 2017 20:25
Dat is waar. Het komt alleen wel terug in bijvoorbeeld logs en analytics zoals Google. Sessie hijacking is dan erg eenvoudig. Volgens mij zijn cookies, mits goed ingezet veiliger. Ook kan je state en auth prima scheiden.
latka
@Anoniem: 847662 maart 2017 20:38
Allemaal waar, maar het valt of staat met encrypted cookies ipv. waardes die je kunt voorspellen. De rest is bijzaak.
Erikvl87
2 maart 2017 17:04
Wie kan mij uitleggen waarom die cashbonus naar de werknemers gaat? Moedigt dit niet juist aan om af een toe een steekje te laten vallen... Zou die bonus niet gewoon gestoken moeten worden in de verbetering van de afdeling die dit soort incidenten hoort te voorkomen?

[Reactie gewijzigd door Erikvl87 op 2 maart 2017 17:06]

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee