Yahoo-hack in 2013 trof accounts van alle drie miljard gebruikers

Bij de hack op Yahoo in 2013 waren de gegevens van alle gebruikers betrokken, destijds waren er ongeveer drie miljard accounts. Dat heeft de nieuwe eigenaar van Yahoo bekendgemaakt. Eerder stelde Yahoo dat het om één miljard accounts ging.

In een persbericht schrijft Yahoo dat tijdens de overname door Verizon aan het licht kwam dat gegevens van alle accounts toegankelijk waren bij de hack in 2013. Dat zou middels nieuw verkregen informatie en na onderzoek door forensische experts boven water zijn gekomen. Het bedrijf stuurt nu een waarschuwing naar alle gebruikers van een Yahoo-account. Eind 2016 maakte Yahoo bekend in 2013 gehackt te zijn, maar toen stelde het bedrijf dat het om een gegevens van een miljard gebruikers ging en werden alleen die gewaarschuwd.

Yahoo heeft de nieuwe informatie verwerkt in zijn Account Security Update Faq. Vorig jaar toen de hack bekend werd gemaakt, liet Yahoo alle gebruikers die sinds de hack hun wachtwoord niet hadden aangepast al een nieuw wachtwoord aanmaken. Destijds werd dat als een voorzorgsmaatregel gepresenteerd.

Onder de mogelijk gestolen gegevens zijn namen, e-mailadressen, telefoonnummers, geboortedata en in sommige gevallen versleutelde en onversleutelde beveiligingsvragen en -antwoorden. Daarnaast zijn de met het onveilig geachte MD5 gehashte wachtwoorden buitgemaakt. Ook in 2013 was al duidelijk dat MD5 niet veilig was. Wachtwoorden in klare tekst zijn niet in handen gekomen van de aanvallers en ook bankgegevens zijn geen onderdeel van de hack, zegt Yahoo.

Door Julian Huijbregts

Nieuwsredacteur

Feedback • 04-10-2017 07:55
24 • submitter: Dynaw

04-10-2017 • 07:55

24

Submitter: Dynaw

Lees meer

Criminelen hadden maandenlang toegang tot sommige Outlook-accounts - update 2
Criminelen hadden maandenlang toegang tot sommige Outlook-accounts - update 2 Nieuws van 15 april 2019
Yahoo Finance komt met app om samen geld te sparen
Yahoo Finance komt met app om samen geld te sparen Nieuws van 21 januari 2018
'Database met gegevens van dertig miljoen Zuid-Afrikanen lekt uit'
'Database met gegevens van dertig miljoen Zuid-Afrikanen lekt uit' Nieuws van 18 oktober 2017
'Amerikaanse beurswaakhond onderzoekt late melding datalekken door Yahoo'
'Amerikaanse beurswaakhond onderzoekt late melding datalekken door Yahoo' Nieuws van 23 januari 2017
Yahoo wijzigt naam binnenkort in Altaba
Yahoo wijzigt naam binnenkort in Altaba Nieuws van 10 januari 2017
'Database van miljard Yahoo-accounts drie keer verkocht voor 300.000 dollar'
'Database van miljard Yahoo-accounts drie keer verkocht voor 300.000 dollar' Nieuws van 16 december 2016
Yahoo-hack trof meer dan een miljard accounts
Yahoo-hack trof meer dan een miljard accounts Nieuws van 15 december 2016
Megahacks leiden niet tot veiliger wachtwoordgebruik bij Nederlander
Megahacks leiden niet tot veiliger wachtwoordgebruik bij Nederlander Nieuws van 24 november 2016
Meer producten en artikelen
Privacy Netwerk en systeembeheer Yahoo Datalek Hack

Reacties (24)

-Moderatie-faq
24
24
14
3
0
5
Wijzig sortering

Sorteer op:

Weergave:
WokeBroke 4 oktober 2017 08:03
MD5 ontworpen in 1991. De man zal toen zelf ook wel geweten hebben dat het niet helemaal veilig was. Maar dat het zo massaal gebruikt zal worden had hij misschien niet gedacht.
Chuk @WokeBroke4 oktober 2017 08:10
Ik dacht zelfs dat het ontworpen was om file integrity te garanderen ipv wachtwoord hashen maar blijkbaar niet :
The MD5 algorithm is a widely used hash function producing a 128-bit hash value. Although MD5 was initially designed to be used as a cryptographic hash function, it has been found to suffer from extensive vulnerabilities. It can still be used as a checksum to verify data integrity, but only against unintentional corruption.

Like most hash functions, MD5 is neither encryption nor encoding. It can be cracked by brute-force attack and suffers from extensive vulnerabilities as detailed in the security section below.

MD5 was designed by Ronald Rivest in 1991 to replace an earlier hash function MD4.[3] The source code in RFC 1321 contains a "by attribution" RSA license
- Wikipedia
YopY @Chuk4 oktober 2017 10:29
Het wàs lange tijd goed, totdat aan de ene kant zwakheden in het algoritme ontdekt werden en aan de andere kant de rekenkracht van computers met meerdere orden van grootte vergroot zijn.
PostyMcPostface @WokeBroke4 oktober 2017 22:48
MD5 is an sich ook niet verkeerd voor een simpele hash(password,salt) functie om de gegevens onomkeerbaar te hashen. Het is voornamelijk in onbruik vanwege de omschreven collision en preimage attacks.

Vrij versimpeld: stel we bedenken een hash waarbij we een letter in het alfabet vervangen door een cijfer. Het bekende A=1, B=2, C=3 etc, totdat we uitkomen bij I=9. Dan beginnen we weer bij J=1, want we hebben maar één bit om aan te roepen in dit voorbeeld Vervolgens pakken we als salt het cijfer "6" en bestaat ons algoritme simpel uit delen door vier.

B = 2 + 6 / 4 = 2
K = 2 + 6 / 4 = 2
U = 2 + 6 / 4 = 2

In alledrie de gevallen is bekend dat de hash 2 is. Omdat in deze het 'algoritme' 'gekraakt' is is deze onveilig. Dat is er wat er in versimpeld met MD5 gebeurt. Het is echter niet zo dat wanneer enkel de hash '2' bekend is, je dan ook per se de letter kent. Daarvoor zijn immers drie mogelijkheden, en 9 mogelijkheden wanneer je ook de 'salt' van +6 niet kent.

Nou is MD5 gelukkig wel wat complexer dan dat en zijn er voor elke hash wel wat meer mogelijkheden. Het bepalen van de input, mits gesalt, is nog steeds praktisch onhaalbaar, ook met MD5. Desondanks is het natuurlijk wel erg onverstandig om nog te gebruiken, immers, om mezelf toegang te verschaffen tot andermans account, hoef ik enkel de resulterende hash te kunnen genereren, en dat kan nou net wel.
tomvleeuwen @PostyMcPostface6 oktober 2017 22:44
Omdat we het hier om wachtwoorden hebben, heb je niet zo veel aan een collision attack. Het berekenen van een collision is nog altijd vele malen moeilijker dan gewoon de simpele wachtwoorden brute-forcen. Bovendien hebben we het wachtwoord niet dus hebben we een pre-image attack nodig. Voor zover ik weet is er nog nooit iemand geweest die succesvol een pre-image attack heeft weten uit te voeren op MD5.
In April 2009, a preimage attack against MD5 was published that breaks MD5's preimage resistance. This attack is only theoretical, with a computational complexity of 2^123.4 for full preimage.
--Wikipedia

De enige zwakheid van MD5 m.b.t. het gebruik als wachtwoord hash is dat hij supersnel te berekenen is, waardoor brute-forcen heel simpel wordt.
wica 4 oktober 2017 08:02
Ahh, alle account zijn bij yahoo gelekt/gehackt.
n een persbericht schrijft Yahoo dat tijdens de overname door Verizon aan het licht kwam dat gegevens van alle accounts toegankelijk waren bij de hack in 2013.
Had Yahoo maar iets van 3 miljard gebruikers?
5pë©ïàál_Tèkén @wica4 oktober 2017 08:19
Mensen kunnen meerdere accounts hebben, bijvoorbeeld werk en privé. Ook kunnen accounts ontoegankelijk achterblijven omdat de eigenaar de inlog gegevens is vergeten. Of wat denk je van accounts van overleden mensen, mensen die zijn overgestapt naar bijvoorbeeld Gmail of accounts van spambots.

Niet elke account is van één gebruiker. Ook is niet duidelijk welke accounts nog actief gebruikt werden (maandelijkse inlog).

Het precieze aantal inlog gegevens dat is buit gemaakt maakt niet zo heel veel uit, mede omdat dat op zichzelf niet veel zegt. Het is een veilige aanname dat als je daar een account hebt, dat die login gegevens van toen op straat liggen.

[Reactie gewijzigd door 5pë©ïàál_Tèkén op 23 juli 2024 04:35]

Nimja @wica4 oktober 2017 08:03
"maar"??

Dat is 50% van de wereldbevolking op dat moment.
himlims_ @Nimja4 oktober 2017 08:16
een gebruiker kan prima meerdere accounts hebben, neemt niet weg dat het een flinke hoeveelheid is
Ashayazu @Nimja4 oktober 2017 09:30
Op dit moment heb ik 8+ email accounts

3 miljard/8 (wat meer dan gemiddeld is neem ik aan) 350.000.000 mensen
Of gedeeld door 4 is 700 milljoen mensen.

Dit is zeer realiseerbaar
Maurits van Baerle @wica4 oktober 2017 10:22
Ik neem aan dat het niet alleen gaat om mensen met een account direct bij Yahoo (voor een yahoo.com emailadres bijvoorbeeld) maar ook voor alle diensten van Yahoo. Daar zitten dan dus ook Flickr, Kelkoo, del.icio.us, Tumblr, Cooliris en nog tientallen ander dingen tussen.
Auredium 4 oktober 2017 08:23
Ik had/heb er twee heel, heel oude mailaccounts waar gelukkig niets meer aan gekoppeld staat sinds een jaar of 10+ geleden.

Maar als je zelf Yahoo accounts hebt dan had je bij het bekend maken echt direct moeten nadenken of je er belangrijke gegevens aan gekoppeld had of mee deed. Ik herinner mij dat op een gegeven moment Yahoo een soort 'revamp' kreeg volgens mij nog net voor 2013 en ik vermoed dat het toen is begonnen.

Maar goed, Yahoo is dan ook al zeker een decennium lang een out of date website. Ik hoop dat dat gedrocht eindelijk kan sterven. Yahoo over genomen, ontmanteld. Het was leuk in de tijd van Altavista.
The Zep Man
4 oktober 2017 08:49
De wereldbevolking was ongeveer 7,1 miljard in 2013. In de aanname dat elke gebruiker maar een enkel account had, was ~42% van de wereldbevolking toen getroffen. Zelfs al doe je de aanname dat elke gebruiker twee accounts had, dan beslaat de data alsnog meer dan een vijfde van de wereldbevolking van toen.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 04:35]

Verwijderd 4 oktober 2017 08:59
Ik vind dat zij veel te stellig roepen dat er geen email tekst is buitgemaakt van gebruikers. Als hackers eenmaal op je netwerk zitten dan is het een kwestie van tijd voordat zij overal bij kunnen. En de emails staan waarschijnlijk ook niet versleuteld opgeslagen.

Maar ik denk niet dat ze de emails van alle 3 miljard gebruikers hebben gedownload, dat zou teveel tijd kosten. Waarschijnlijk hadden ze een lijst met 'targets' waarvan ze de email wel hebben gedownload.

Toch raar dat de Amerikaanse overheid hier geen boetes voor uitdeelt zoals de AP. Zo krijg je dat het voor bedrijven alleen maar een PR issue wordt en meer niet.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 04:35]

SherlockHolmes 4 oktober 2017 08:00
Hoeveel miljoen accounts waren er volgens Yahoo eerder gehackt? (of compromised?)
AriGold @SherlockHolmes4 oktober 2017 08:02
Staat toch in de inleiding?
Mijne @SherlockHolmes4 oktober 2017 08:02
Staat toch gewoon in het eerste gedeelte van de tekst...
Eerder stelde Yahoo dat het om één miljard accounts ging.
Jazco2nd 4 oktober 2017 12:08
Maar wat is er nou werkelijk gedaan met die data? Wat is de werkelijke schade geweest?
Veel ophef over deze hack, maar ik heb nog nergens gelezen dat er werkelijk schade is geleden.
Gosse_W @Jazco2nd4 oktober 2017 14:58
Dat kan natuurlijk jaren duren voordat jij het specifiek merkt. Maar zo'n lijst met inloggegevens, hashes, (on)beveiligde antwoorden op 'beveiligingsvragen' (wat is de meisjesnaam van je moeder?) en wat niet al, is ongetwijfeld veel bitcoins waard. Dit is letterlijk big data. Hackers en ddos'ers en ander tuig zitten altijd wel te wachten op onze logingegevens.
Jazco2nd @Gosse_W4 oktober 2017 15:27
We zijn ruim 4 jaar verder, 3 miljard accounts en nog geen enkele schade... ik vind het nogal opgeblazen allemaal.
5pë©ïàál_Tèkén 4 oktober 2017 08:18
Sorry dit bericht moest een reactie zijn ophet bericht van Wica. :)

[Reactie gewijzigd door 5pë©ïàál_Tèkén op 23 juli 2024 04:35]

gubyan 4 oktober 2017 09:55
Accounts migreren van @yahoo.com naar @verizon.com en het debacle yahoo lekker laten inslapen.
(Dat mensen dit nog gebruiken is beyond me)
Gosse_W @gubyan4 oktober 2017 14:30
Waar zou dat een oplossing voor zijn? Als spam-vang-adres is een @yahoo-adres nog best functioneel. Dat ze de beveiliging zo hebben laten sloffen, is overigens ernstig. Maar de gewone man die nou eenmaal sinds de 1990's een yahoo-adres heeft en altijd al gebruikt, zal z'n schouders ophalen en met tegenzin een nieuw wachtwoord instellen...
BBM 4 oktober 2017 23:17
Blij dat ik Rocketmail had en geen Yahoo... :+

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq