Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Yahoo-hack in 2013 trof accounts van alle drie miljard gebruikers

Bij de hack op Yahoo in 2013 waren de gegevens van alle gebruikers betrokken, destijds waren er ongeveer drie miljard accounts. Dat heeft de nieuwe eigenaar van Yahoo bekendgemaakt. Eerder stelde Yahoo dat het om één miljard accounts ging.

In een persbericht schrijft Yahoo dat tijdens de overname door Verizon aan het licht kwam dat gegevens van alle accounts toegankelijk waren bij de hack in 2013. Dat zou middels nieuw verkregen informatie en na onderzoek door forensische experts boven water zijn gekomen. Het bedrijf stuurt nu een waarschuwing naar alle gebruikers van een Yahoo-account. Eind 2016 maakte Yahoo bekend in 2013 gehackt te zijn, maar toen stelde het bedrijf dat het om een gegevens van een miljard gebruikers ging en werden alleen die gewaarschuwd.

Yahoo heeft de nieuwe informatie verwerkt in zijn Account Security Update Faq. Vorig jaar toen de hack bekend werd gemaakt, liet Yahoo alle gebruikers die sinds de hack hun wachtwoord niet hadden aangepast al een nieuw wachtwoord aanmaken. Destijds werd dat als een voorzorgsmaatregel gepresenteerd.

Onder de mogelijk gestolen gegevens zijn namen, e-mailadressen, telefoonnummers, geboortedata en in sommige gevallen versleutelde en onversleutelde beveiligingsvragen en -antwoorden. Daarnaast zijn de met het onveilig geachte MD5 gehashte wachtwoorden buitgemaakt. Ook in 2013 was al duidelijk dat MD5 niet veilig was. Wachtwoorden in klare tekst zijn niet in handen gekomen van de aanvallers en ook bankgegevens zijn geen onderdeel van de hack, zegt Yahoo.

Door

Nieuwsredacteur

24 Linkedin Google+

Submitter: Dynaw

Reacties (24)

Wijzig sortering
MD5 ontworpen in 1991. De man zal toen zelf ook wel geweten hebben dat het niet helemaal veilig was. Maar dat het zo massaal gebruikt zal worden had hij misschien niet gedacht.
Ik dacht zelfs dat het ontworpen was om file integrity te garanderen ipv wachtwoord hashen maar blijkbaar niet :
The MD5 algorithm is a widely used hash function producing a 128-bit hash value. Although MD5 was initially designed to be used as a cryptographic hash function, it has been found to suffer from extensive vulnerabilities. It can still be used as a checksum to verify data integrity, but only against unintentional corruption.

Like most hash functions, MD5 is neither encryption nor encoding. It can be cracked by brute-force attack and suffers from extensive vulnerabilities as detailed in the security section below.

MD5 was designed by Ronald Rivest in 1991 to replace an earlier hash function MD4.[3] The source code in RFC 1321 contains a "by attribution" RSA license
- Wikipedia
Het wàs lange tijd goed, totdat aan de ene kant zwakheden in het algoritme ontdekt werden en aan de andere kant de rekenkracht van computers met meerdere orden van grootte vergroot zijn.
MD5 is an sich ook niet verkeerd voor een simpele hash(password,salt) functie om de gegevens onomkeerbaar te hashen. Het is voornamelijk in onbruik vanwege de omschreven collision en preimage attacks.

Vrij versimpeld: stel we bedenken een hash waarbij we een letter in het alfabet vervangen door een cijfer. Het bekende A=1, B=2, C=3 etc, totdat we uitkomen bij I=9. Dan beginnen we weer bij J=1, want we hebben maar één bit om aan te roepen in dit voorbeeld Vervolgens pakken we als salt het cijfer "6" en bestaat ons algoritme simpel uit delen door vier.

B = 2 + 6 / 4 = 2
K = 2 + 6 / 4 = 2
U = 2 + 6 / 4 = 2

In alledrie de gevallen is bekend dat de hash 2 is. Omdat in deze het 'algoritme' 'gekraakt' is is deze onveilig. Dat is er wat er in versimpeld met MD5 gebeurt. Het is echter niet zo dat wanneer enkel de hash '2' bekend is, je dan ook per se de letter kent. Daarvoor zijn immers drie mogelijkheden, en 9 mogelijkheden wanneer je ook de 'salt' van +6 niet kent.

Nou is MD5 gelukkig wel wat complexer dan dat en zijn er voor elke hash wel wat meer mogelijkheden. Het bepalen van de input, mits gesalt, is nog steeds praktisch onhaalbaar, ook met MD5. Desondanks is het natuurlijk wel erg onverstandig om nog te gebruiken, immers, om mezelf toegang te verschaffen tot andermans account, hoef ik enkel de resulterende hash te kunnen genereren, en dat kan nou net wel.
Omdat we het hier om wachtwoorden hebben, heb je niet zo veel aan een collision attack. Het berekenen van een collision is nog altijd vele malen moeilijker dan gewoon de simpele wachtwoorden brute-forcen. Bovendien hebben we het wachtwoord niet dus hebben we een pre-image attack nodig. Voor zover ik weet is er nog nooit iemand geweest die succesvol een pre-image attack heeft weten uit te voeren op MD5.
In April 2009, a preimage attack against MD5 was published that breaks MD5's preimage resistance. This attack is only theoretical, with a computational complexity of 2^123.4 for full preimage.
--Wikipedia

De enige zwakheid van MD5 m.b.t. het gebruik als wachtwoord hash is dat hij supersnel te berekenen is, waardoor brute-forcen heel simpel wordt.
Ahh, alle account zijn bij yahoo gelekt/gehackt.
n een persbericht schrijft Yahoo dat tijdens de overname door Verizon aan het licht kwam dat gegevens van alle accounts toegankelijk waren bij de hack in 2013.
Had Yahoo maar iets van 3 miljard gebruikers?
Mensen kunnen meerdere accounts hebben, bijvoorbeeld werk en privé. Ook kunnen accounts ontoegankelijk achterblijven omdat de eigenaar de inlog gegevens is vergeten. Of wat denk je van accounts van overleden mensen, mensen die zijn overgestapt naar bijvoorbeeld Gmail of accounts van spambots.

Niet elke account is van één gebruiker. Ook is niet duidelijk welke accounts nog actief gebruikt werden (maandelijkse inlog).

Het precieze aantal inlog gegevens dat is buit gemaakt maakt niet zo heel veel uit, mede omdat dat op zichzelf niet veel zegt. Het is een veilige aanname dat als je daar een account hebt, dat die login gegevens van toen op straat liggen.

[Reactie gewijzigd door Kuusje op 4 oktober 2017 08:19]

"maar"??

Dat is 50% van de wereldbevolking op dat moment.
een gebruiker kan prima meerdere accounts hebben, neemt niet weg dat het een flinke hoeveelheid is
Op dit moment heb ik 8+ email accounts

3 miljard/8 (wat meer dan gemiddeld is neem ik aan) 350.000.000 mensen
Of gedeeld door 4 is 700 milljoen mensen.

Dit is zeer realiseerbaar
Ik neem aan dat het niet alleen gaat om mensen met een account direct bij Yahoo (voor een yahoo.com emailadres bijvoorbeeld) maar ook voor alle diensten van Yahoo. Daar zitten dan dus ook Flickr, Kelkoo, del.icio.us, Tumblr, Cooliris en nog tientallen ander dingen tussen.
Ik had/heb er twee heel, heel oude mailaccounts waar gelukkig niets meer aan gekoppeld staat sinds een jaar of 10+ geleden.

Maar als je zelf Yahoo accounts hebt dan had je bij het bekend maken echt direct moeten nadenken of je er belangrijke gegevens aan gekoppeld had of mee deed. Ik herinner mij dat op een gegeven moment Yahoo een soort 'revamp' kreeg volgens mij nog net voor 2013 en ik vermoed dat het toen is begonnen.

Maar goed, Yahoo is dan ook al zeker een decennium lang een out of date website. Ik hoop dat dat gedrocht eindelijk kan sterven. Yahoo over genomen, ontmanteld. Het was leuk in de tijd van Altavista.
De wereldbevolking was ongeveer 7,1 miljard in 2013. In de aanname dat elke gebruiker maar een enkel account had, was ~42% van de wereldbevolking toen getroffen. Zelfs al doe je de aanname dat elke gebruiker twee accounts had, dan beslaat de data alsnog meer dan een vijfde van de wereldbevolking van toen.

[Reactie gewijzigd door The Zep Man op 4 oktober 2017 08:52]

Ik vind dat zij veel te stellig roepen dat er geen email tekst is buitgemaakt van gebruikers. Als hackers eenmaal op je netwerk zitten dan is het een kwestie van tijd voordat zij overal bij kunnen. En de emails staan waarschijnlijk ook niet versleuteld opgeslagen.

Maar ik denk niet dat ze de emails van alle 3 miljard gebruikers hebben gedownload, dat zou teveel tijd kosten. Waarschijnlijk hadden ze een lijst met 'targets' waarvan ze de email wel hebben gedownload.

Toch raar dat de Amerikaanse overheid hier geen boetes voor uitdeelt zoals de AP. Zo krijg je dat het voor bedrijven alleen maar een PR issue wordt en meer niet.

[Reactie gewijzigd door ArtGod op 4 oktober 2017 10:00]

Hoeveel miljoen accounts waren er volgens Yahoo eerder gehackt? (of compromised?)
Staat toch in de inleiding?
Staat toch gewoon in het eerste gedeelte van de tekst...
Eerder stelde Yahoo dat het om één miljard accounts ging.
Maar wat is er nou werkelijk gedaan met die data? Wat is de werkelijke schade geweest?
Veel ophef over deze hack, maar ik heb nog nergens gelezen dat er werkelijk schade is geleden.
Dat kan natuurlijk jaren duren voordat jij het specifiek merkt. Maar zo'n lijst met inloggegevens, hashes, (on)beveiligde antwoorden op 'beveiligingsvragen' (wat is de meisjesnaam van je moeder?) en wat niet al, is ongetwijfeld veel bitcoins waard. Dit is letterlijk big data. Hackers en ddos'ers en ander tuig zitten altijd wel te wachten op onze logingegevens.
We zijn ruim 4 jaar verder, 3 miljard accounts en nog geen enkele schade... ik vind het nogal opgeblazen allemaal.
Sorry dit bericht moest een reactie zijn ophet bericht van Wica. :)

[Reactie gewijzigd door Kuusje op 4 oktober 2017 08:20]

Accounts migreren van @yahoo.com naar @verizon.com en het debacle yahoo lekker laten inslapen.
(Dat mensen dit nog gebruiken is beyond me)
Waar zou dat een oplossing voor zijn? Als spam-vang-adres is een @yahoo-adres nog best functioneel. Dat ze de beveiliging zo hebben laten sloffen, is overigens ernstig. Maar de gewone man die nou eenmaal sinds de 1990's een yahoo-adres heeft en altijd al gebruikt, zal z'n schouders ophalen en met tegenzin een nieuw wachtwoord instellen...
Blij dat ik Rocketmail had en geen Yahoo... :+

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*