Hacker claimt toegang tot Yahoo-servers

Een hacker die eerder verantwoordelijk zou zijn voor een inbraak op systemen van Adobe, claimt dat hij volledige toegang heeft verkregen tot zeker twee servers en domeinen van Yahoo. De aanvaller stelt dat Yahoo niet heeft gereageerd op eerdere waarschuwingen.

De aanvaller, die opereert onder het alias ViruS_HimA en uit Egypte afkomstig zou zijn, stelt diverse servers van Yahoo te hebben gekraakt. Zo zou hij een 'volledige backup' hebben kunnen maken van een domein dat in handen is van Yahoo. In een screenshot, dat afkomstig zou zijn van de betreffende server, is een configuratiebestand te zien waarin inloggegevens voor een MySQL-database staan. Naast toegang tot bestanden op een server claimt de hacker ook dat hij in totaal twaalf databases van Yahoo kon benaderen.

Om toegang te krijgen tot de Yahoo-servers zou ViruS_HimA gebruik hebben gemaakt van xss-aanvallen en sql-injecties. De hacker stelt dat hij Yahoo al enige tijd geleden op de hoogste heeft gesteld van de gaten in zijn systemen maar dat het bedrijf hier niet op heeft gereageerd. De aanvaller zegt daarop te hebben besloten om bewijsmateriaal te publiceren. Verder claimt de hacker dat hij geen persoonsgegevens zal publiceren.

De hacker claimt dat hij al diverse grote internetbedrijven heeft gewezen op kwetsbaarheden, waaronder Apple, Facebook, Google en Microsoft, zo schrijft The Next Web. Ook zou hij eerder dit jaar Adobe hebben gewaarschuwd voor kwetsbare systemen, maar toen ook dit bedrijf geen actie zou hebben ondernomen besloot de aanvaller gegevens van Adobe-klanten te publiceren. Adobe besloot kort na de publicatie de website enige tijd offline te halen.

Yahoo-server

Door Dimitri Reijerman

Redacteur

Feedback • 16-12-2012 12:19 52

16-12-2012 • 12:19

52

Lees meer

Australische tiener bekent inbraak bij systemen van Apple
Australische tiener bekent inbraak bij systemen van Apple Nieuws van 16 augustus 2018
Yahoo waarschuwt dat hackers zijn e-maildienst binnendrongen
Yahoo waarschuwt dat hackers zijn e-maildienst binnendrongen Nieuws van 31 januari 2014
Hackers stelen klantgegevens en broncode van Adobe
Hackers stelen klantgegevens en broncode van Adobe Nieuws van 4 oktober 2013
Officieel forum Ubuntu is getroffen door een hacker
Officieel forum Ubuntu is getroffen door een hacker Nieuws van 21 juli 2013
'Wachtwoord mobiele hotspot-functionaliteit iOS eenvoudig te achterhalen'
'Wachtwoord mobiele hotspot-functionaliteit iOS eenvoudig te achterhalen' Nieuws van 17 juni 2013
Gegevens 22 miljoen Japanse Yahoo-gebruikers liggen mogelijk op straat
Gegevens 22 miljoen Japanse Yahoo-gebruikers liggen mogelijk op straat Nieuws van 19 mei 2013
Gerucht: Yahoo wil videostreamdienst Hulu kopen
Gerucht: Yahoo wil videostreamdienst Hulu kopen Nieuws van 9 mei 2013
'Apple en Yahoo bespreken verdere samenwerking voor iOS'
'Apple en Yahoo bespreken verdere samenwerking voor iOS' Nieuws van 10 april 2013
Google breidt Webmaster-tools uit met 'eerste hulp na hacken'
Google breidt Webmaster-tools uit met 'eerste hulp na hacken' Nieuws van 13 maart 2013
'Beveiligingslek Adobe Reader wordt actief misbruikt'
'Beveiligingslek Adobe Reader wordt actief misbruikt' Nieuws van 13 februari 2013
Yahoo sluit advertentieovereenkomst met Google
Yahoo sluit advertentieovereenkomst met Google Nieuws van 7 februari 2013
Hacker maakt gegevens 150.000 Adobe-klanten buit
Hacker maakt gegevens 150.000 Adobe-klanten buit Nieuws van 15 november 2012
Meer producten en artikelen
Netwerk en systeembeheer Yahoo Hack Hackers

Reacties (52)

-Moderatie-faq
52
47
37
3
0
0
Wijzig sortering
bravonijn 16 december 2012 16:51
laat iedereen toch van elkaars spullen afblijven.
het blijven gewoon criminelen in mijn ogen.

Ik ga toch ook niet bij de buurman inbreken om te kijken of hij het raam wel goed dicht heeft?
En dan gaan zwaaien met een comic sans briefje en zeggen .. goh buurman mooie kleding kast maar hij stond wel open .. foei zeg en ik had het nog zo gezegd dat die dicht moest
Want op een of andere mannier moet ik mij wel ergeren aan jouw kast die open staat
nu heb ik je ondergoed gezien , maar wees gerust de buurt zal niet weten welk motiefje er in de kast hangt.
Cronax @bravonijn17 december 2012 12:00
laat iedereen toch van elkaars spullen afblijven.
het blijven gewoon criminelen in mijn ogen.

Ik ga toch ook niet bij de buurman inbreken om te kijken of hij het raam wel goed dicht heeft?
En dan gaan zwaaien met een comic sans briefje en zeggen .. goh buurman mooie kleding kast maar hij stond wel open .. foei zeg en ik had het nog zo gezegd dat die dicht moest
Want op een of andere mannier moet ik mij wel ergeren aan jouw kast die open staat
nu heb ik je ondergoed gezien , maar wees gerust de buurt zal niet weten welk motiefje er in de kast hangt.
Dit is eerder het equivalent van een briefje in de bus doen bij je buurman om te laten weten dat het slot van zijn voordeur niet goed werkt terwijl algemeen bekend is dat hij de belastingaangifte van de halve wijk voor zijn rekening neemt ofzo...en vervolgens als hij er niets aan doet een kopie nemen van een van de ingevulde formulieren met de gevoelige informatie er uitgecensureerd. De persoon die mij een goed beargumenteerde reden kan geven waarom bedrijven die met persoonsgegevens omgaan hun zaken aangaande beveiliging niet in orde hoeven te hebben ben ik nog niet tegengekomen.

De activiteiten van zulke hackers zijn misschien twijfelachtig, maar om de vergelijking door te trekken, ik heb liever dat mijn buurman me er vriendelijk op wijst dat het slot op mijn voordeur niet zo best meer is, dan dat ik thuiskom en mijn hele huisraad meegenomen is...
fraggie @bravonijn16 december 2012 23:16
In dit geval ga je via een niet helemaal gesloten raam naar binnen om de voordeur van het slot te halen..
BoringDay @fraggie17 december 2012 06:35
En iemand die vergeet zijn door op slot te doen heeft nog steeds geen toestemming gegeven dat ieder wild vreemde zomaar even naar binnen mag gaan om te kijken of je slot wel deugd.
[Remmes] @bravonijn16 december 2012 17:05
vergelijking tussen buurman en een bedrijf die miljoenen persoonsgegevens heeft, en ook nog op de beurs mee doet


wat deze persoon heeft gedaan is gewoon Yahoo er even op wijzen dat de beveiliging niet helemaal lekker is, voor hetzelfde geld had deze persoon kwaad in de zin en had je een groter probleem, want dat soort volk heeft er schijt aan dat het niet mag
Edgarz 16 december 2012 13:19
Ik kan mij voorstellen dat als je dagelijks tientallen van dit soort claims ontvangt, het niet te doen is om deze allemaal direct te checken. Da's ook een manier om een IT afdeling lekker af te leiden en bezig te houden. Information overflow, zullen we het maar noemen.
Cronax @Edgarz17 december 2012 11:52
Ik kan mij voorstellen dat als je dagelijks tientallen van dit soort claims ontvangt, het niet te doen is om deze allemaal direct te checken. Da's ook een manier om een IT afdeling lekker af te leiden en bezig te houden. Information overflow, zullen we het maar noemen.
Sorry hoor maar als je dagelijks tientallen claims van dergelijke aard ontvangt dan is dat een gegronde reden om je systemen eens grondig door te lichten. We hebben het hier niet over de bakker om de hoek, dit bedrijf is met persoonsgegevens in de weer!
Mic2000 16 december 2012 12:28
Ik vraag mij af hoe snel deze hacker wordt opgepakt. Al ben ik blij dat hij gaten aantoont in beveiliging, hoop ik dat wat hij publiceert zodanig is gecensureerd dat klanten van deze bedrijven er niet onder lijden.
Niemand_Anders @Mic200016 december 2012 13:07
Het is nu al bekend dat Yahoo vatbaar is voor XSS en SQL injections. Waarschijnlijk is nu een leger aan script kiddies bezig de servers van Yahoo aan te vallen..

Misschien dat Yahoo zonder feedback aan de hacker de problemen al heeft opgelost, maar als dat niet zo is, dan kunnen er nadelige gevolgen zijn voor (enkele) klanten van Yahoo.

De servers van Yahoo, Google en Microsoft worden natuurlijk continue aangevallen middels pogingen van XSS en SQL injections. Maar dan 'hoopt' men een zwakke plek te kunnen vinden, nu weet men dat er een zwakke plek is en zal men veel meer moeite doen om binnen te komen, dan als men niet op de hoogte is van de zwakke plek..

Maar Yahoo heeft zo te zien wel meer zwakke plekken. Zo delen de news en feedback onderdelen hetzelfde 'yahoo' account. Dat betekend dat als je de feedback server weer te hacken, je ook automatisch bij nieuws en waarschijnlijk andere onderdelen kan komen.

Ik snap dat echt niet van bedrijveen. Wel de website partitioneren in verschillende modules, maar dat dan weer niet doortrekken naar de database.

Elke welke DBA staat toe dat er dan een algemene username als 'yahoo' gebruikt mag worden? Een credential bestaat uit een username en een wachtwoord. Als ik de username kan raden, dan is een bruteforce password attack niet meer zo moeilijk..
OddesE @Niemand_Anders16 december 2012 22:35
Behalve dat je hoogstwaarschijnlijk überhaupt niet bij de database kunt van buitenaf.

Meestal kun je vanaf buiten alleen bij de website en kan de website zelf weer bij de database. De website software logt dan dus in op de database en voert de queries voor je uit en toont de resultaten in een HTML pagina.

Het mooist zou het inderdaad zijn als de website hiervoor niet één generieke account zou gebruiken met (vrijwel) alle rechten, maar er per website gebruiker een database account zou zijn met slechts gelimiteerde permissies op basis van wat die ene account mag, maar in de praktijk gebeurt dit slechts uiterst zelden. Ik heb zo'n inrichting nog nooit in de praktijk gebruikt zien worden terwijl ik toch al meer dan 10 jaar als web developer werk. Alle CMS en die ik ken gebruiken gewoon één database account met één gebruikersnaam en wachtwoord, en die staan vrijwel altijd ergens in een configuratie / script bestandje in een afgeschermde map van de webserver.
boto @Mic200016 december 2012 12:41
waarom zou hij opgepakt moeten worden als hij geen persoonsgegevens heeft gepubliceerd?
DonLexos @boto16 december 2012 12:53
Omdat het inbreken in computer systemen op zichzelf al een misdrijf is?
devil-strike @DonLexos16 december 2012 13:29
Hier in nl is dat meschien strafbaar, maar of dit in egypte ook zo is?
Pinkman @devil-strike17 december 2012 11:21
meschien
Verwijderd @Pinkman17 december 2012 13:04
misschien, en in egypte .. nee ;-) niet strafbaar
boto @DonLexos16 december 2012 15:30
Het proberen ertoe ook, maar laat dat nou net een heikel punt in de wet zijn, want ga je diegene die je er op wijst dat je systeem niet veilig is (ZONDER persoonsgegevens/afpersing enzo) ook vervolgen? Dan weet je 100% dat niemand ooit nog lekken gaat aangeven.
BoringDay @boto16 december 2012 13:10
Dan moet die Yahoo informeren en niet de media.
Steef435 16 december 2012 21:28
Tegen alle mensen die zeggen dat deze hacker slecht bezig is:
Dit soort mensen zorgt ervoor dat jouw gegevens veilig blijven, niet andersom.
BoringDay @Steef43517 december 2012 06:39
"Ook zou hij eerder dit jaar Adobe hebben gewaarschuwd voor kwetsbare systemen, maar toen ook dit bedrijf geen actie zou hebben ondernomen besloot de aanvaller gegevens van Adobe-klanten te publiceren."

Dat is dus niet het geval, dan publiceren ze het zelf ... dus nog even onveilig.
Blijf gewoon van andermans spullen af dan hebben we niet eens beveiliging nodig!
zoutepopcorn @BoringDay17 december 2012 09:57
Dus jij zet ook je fiets niet meer op slot? Blijf gewoon van mijn fiets af, hoeft die ook niet op slot. Zo werkt de wereld helaas niet.
Gerardus 16 december 2012 14:34
Zover ik kan nagaan, pleegt deze hacker een (overigens internationale) misdaad, alhoewel met goede bedoelingen. Het blijft natuurlijk af te keuren, maar aan de andere kant kan ik begrijpen waarom hij deze actie heeft gedaan. Moge een eventuele aanklacht uitblijven, en anders, dat de rechter hierin een rechtmatig oordeel over kan vellen aan de hand van wettelijk correct verkregen bewijsmateriaal.

Zelf kan ik hier niet over oordelen, daar 1. mijn kennis niet toereikend is, 2. er niet zoveel publiekelijk bekend is gemaakt en 3. ik geen rechter ben.
windwarrior @Gerardus17 december 2012 09:28
Deze persoon zou onder de nederlanse wet inderdaad computervredebreuk gepleegd en dat zou hem hier een straf van maximaal 1 jaar of een boete betekenen, tenzij hij de computer of gegevens voor eigen gebruikt, dan kan het 4 jaar worden ;)

[Reactie gewijzigd door windwarrior op 23 juli 2024 22:29]

Edddd 16 december 2012 12:26
Twee zaken die ik niet begrijp:
1. Waarom neemt Yahoo geen actie naar aanleiding van zijn waarschuwingen over lekken. Het komt de betrouwbaarheid van Yahoo (en de overige genoemde bedrijven) bepaald niet ten goede wanneer hun zwakke plekken aangetoond worden en naar buiten komen, terwijl ze er van af hadden kunnen weten.
2. Wat is het doel van de hacker? Puur hobbyisme, reputatie opbouwen of aandacht? Of, wellicht, om ergens een interessante baan in de wacht te slepen?

Voor de gebruikers van de diensten van genoemde bedrijven is het wel goed om dit te zien, opdat er niet blindelings wordt vertrouwd op 'grote namen'. Het geeft maar weer eens aan dat beveiliging niet vanzelfsprekend is, zelfs wanneer je betaalt voor een dienst die dat zou bieden.
derkas 16 december 2012 12:29
Het is maar te hopen dat de gebruikers van yahoo veilig zijn.
archivist 16 december 2012 15:40
Laat die hackers toch lekker hacken. Zolang de echt waardevolle informatie op de core systemen maar dusdanig versleuteld is dat de informatiewaarde gelijk is aan nul ontmoedigd het de hackers.

Het voelt knap ...lig om veel tijd en schaarse middelen in een hackpoging te investeren met een netto nul-opbrengst.
Verwijderd 16 december 2012 20:31
en wie zegt dat deze systemen niet al jaren worden geexploit door een of andere malafide hacker...
slechte zaak dus, komop yahoo! Als deze lek zijn, hoe veilig is dan je clouddienst?
Tu0masi 16 december 2012 22:22
Ik vind het wel een geniale actie.

Bij Google is/was het volgens mij zo, dat ze een beloning uitgaven als je ergens een lek/hack zou vinden. Misschien moet Yahoo ook zoiets invoeren.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq