Yahoo! Vi förlorade dina data! Två år sedan…

Yahoo! Vi förlorade dina data! Två år sedan… / säkerhet

Web jätte Yahoo har lidit en enorm dataöverträdelse. Brottet, som ägde rum under 2014, resulterade i att informationen om 500 miljoner Yahoo-användare erbjöds till försäljning på den mörka webben 6 Lite kända hörn av den djupa webben kan du faktiskt tycka om 6 lite kända hörn av den djupa webben du kanske skulle Egentligen Gilla Den djupa webben har ett dåligt rykte - nästan alla dåliga saker du kan tänka på är tillgängliga där. Men det finns också några riktigt bra saker du kanske vill kolla in. Läs mer .

Bildkredit: Ken Wolter via Shutterstock.com

Storleken på stölddvärgarna andra senaste, stora dataöverträdelser, och placerar säkerhetsrutinerna på plats på Yahoo fast under rampljuset.

Vad har brutits?

Yahoo utfärdade ett uttalande som bekräftar och redogör för säkerhetsbrottet, vilket hävdar att uppgifterna stulits av “statsunderstödd” hackare. Information, inklusive namn, e-postadresser, telefonnummer och säkerhetsfrågor har stulits från företaget 2014.

“En nyligen genomförd utredning av Yahoo har bekräftat att en kopia av viss användarkontoinformation stulits från vårt nätverk i slutet av 2014 av det vi tror är en statssponsorerad skådespelare. Vi jobbar nära med brottsbekämpande myndigheter och meddelar potentiellt drabbade användare hur de kan säkra sina konton ytterligare.”

En liten positiv kommer in i kunskapen om att överträdelsen inte innehöll “oskyddade lösenord, betalkortdata eller bankkontoinformation.” Icke desto mindre kommer de uttalanden som utfärdas av Yahoo att ta upp ytterligare frågor från säkerhetsforskare angående tidslinjen för händelser, liksom företagets åtgärder under de dagar som följer efter överträdelsen.

BREAKING: 500 miljoner #Yahoo-konton kompromissade under 2014 Hack. I andra chockerande nyheter har 500 miljoner människor Yahoo-konton.

- Ben Canner (@InfoSec_Review) 22 september 2016

Öka viktiga frågor

Riktigt högst upp på många säkerhetsforskare är listan helt enkelt en fråga “varför tog det så lång tid för att bekräfta ett hack Varför företag som bryter mot en hemlighet kan vara en bra sak Varför företag som bryter mot en hemlighet kan vara en bra sak Med så mycket information på nätet oroar vi alla för potentiella säkerhetsbrott. Men dessa överträdelser kan hållas hemliga i USA för att skydda dig. Det låter galet, så vad händer? Läs mer av denna skala?” Detta spelar också lätt in i andra frågor. Varför tog Yahoo så lång tid för att informera sina användare om överträdelsen?

Yahoo skickar nu ut anmälningar till kunderna: pic.twitter.com/AjbDJYQCIH

- Troy Hunt (@troyhunt) 23 september 2016

Tanken med en statssponserad attack är också förbryllande. Ännu har Yahoo misslyckats med att producera några bevis som kopplar samman överträdelsen till en statsaktör, även om tre amerikanska underrättelsetjänstemän - som nekades identifieras med namn - bekräftades till Reuters:

“... de trodde att attacken var statssponserad på grund av likheten med tidigare hackar spårade till ryska efterlysningsorgan eller hackare som agerade i deras riktning.”

Även om överträdelsen borde likna tidigare staternas attacker när regeringar attackerar: Nationell statlig malware utsatt när regeringar attackerar: Nation-State Malware Exposed En cyberwar äger rum just nu, gömd av internet, så observerades resultatet sällan. Men vem är spelarna i krigets teater och vad är deras vapen? Läs mer, dessa överträdelser leder inte typiskt till att privata användardata släpps. Sällan är det att hitta de referenser som annonseras för försäljning på den mörka webben. Här är hur mycket din identitet kan vara värd på den mörka webben. Här är hur mycket din identitet kan vara värd på den mörka webben. Det är obehagligt att tänka på dig själv som en vara, men alla dina personuppgifter, från namn och adress till bankkontouppgifter, är värda någonting för online-brottslingar. Hur mycket är du värd? Läs mer .

Att lägga till ytterligare intriger är identiteten hos den person som säljer en del av dataöverträdelsen. En användare som heter “Sinnesro,” som också hade sålt datapumpar av MySpace och LinkedIn-överträdelserna, använde aktivt data.

Bildkredit: Adike via Shutterstock

Jeremiah Grossman, chef för säkerhetsstrategin hos SentinelOne, sa “Medan vi vet att informationen stulits i slutet av 2014 har vi ingen indikation på när Yahoo först lärde sig om detta brott. Detta är en viktig detalj i berättelsen.”

Grossman tror att som sinnesfrid var en “profiteer hacker” de skulle vara mycket osannolikt att ha fått statligt sponsring; följaktligen, “Det betyder att det är möjligt att vi tittar på två olika Yahoo-överträdelser med två olika hackgrupper i deras system.”

“Det stora antalet människor som drabbas av denna cyberattack är svimlande och visar hur svår konsekvenserna av ett säkerhetshack kan vara ... Vi vet ännu inte alla detaljer om hur det här häcket hände, men det finns ett skrämmande och viktigt budskap här för företag som förvärvar och hanterar personuppgifter. Personens personuppgifter måste skyddas säkert under lås och nyckel - och den nyckeln måste vara omöjlig för hackare att hitta.” - Förenade kungarikets informationskommissionär Elizabeth Denham

Hur allvarligt är det här?

Yahoos uttalande bekräftade att den stora majoriteten av stulna lösenord var hashed med hjälp av bcrypt. Hashing är processen att göra ett lösenord till en fast längd “fingeravtryck” som återkallas och kontrolleras när en användare försöker logga in. Det är en grundläggande metod för att skydda användarinformation Varje säker hemsida gör det med ditt lösenord Varje säker hemsida gör det med ditt lösenord Har du någonsin undrat hur webbplatser håller ditt lösenord säkert från dataöverträdelser? Läs mer, men är fortfarande förbisedd av vissa webbplatser De 7 vanligaste taktiken som används för att hämta lösenord De 7 vanligaste taktiken som används för att hämta lösenord När du hör "säkerhetsbrott", vad händer i åtanke? En illvillig hacker? Några källare-boende barn? Verkligheten är, allt som behövs är ett lösenord, och hackare har 7 sätt att få din. Läs mer .

Bcrypt betraktas som en säker metod för hash som ishallen också är “saltade,” Hur säkerställer dina webbplatser dina lösenord? Hur säkerställer dina webbplatser dina lösenord? Med regelbundna online säkerhetsbrott rapporteras, är du utan tvekan oroad över hur webbplatser ser efter ditt lösenord. I själva verket, för sinnesfrid, är det någonting som alla behöver veta ... Läs mer en process där varje hash kommer att vara annorlunda, även om det skyddar samma lösenord.

Lösenorden är irriterande men lätt att ändra. En mors pigenamn är inte. Hackare bryter också upp säkerhetsfrågor i plaintext. Säkerhetsfrågor har länge granskats Hur man skapar en säkerhetsfråga som ingen annan kan gissa Hur man skapar en säkerhetsfråga som ingen annan kan gissa Under de senaste veckorna har jag skrivit mycket om hur man gör online-konton utvinningsbara. Ett typiskt säkerhetsalternativ ställer in en säkerhetsfråga. Även om detta möjligen ger ett snabbt och enkelt sätt att ... Läs mer för deras roll när det gäller att identifiera användarkonton vid tidigare överträdelser, men de utgör fortfarande en primär egenskap hos de flesta användarkontoinloggningssystemen.

Följaktligen har Yahoo skickat alla sina användare ett meddelande om lösenordsåterställning. De uppmuntrar sina användare att:

  • Ändra ditt lösenord och säkerhetsfrågor och svar på andra konton där du använder samma eller liknande uppgifter som de som används för ditt Yahoo-konto.
  • Granska dina konton för misstänkt aktivitet.
  • Var försiktig med eventuella oönskade meddelanden som begär din personliga information eller hänvisar till en webbsida som begär personlig information.
  • Undvik att klicka på länkar eller hämta bilagor från misstänkta e-postmeddelanden.

Vi kan inte betona det första förslaget nog. Vi rekommenderar även våra läsare att överväga andra webbplatser som de kanske har använt sina inloggningsuppgifter med, till exempel bildlagringsservice Flickr eller social bokmärkeswebbplats Del.icio.us.

Du kan ha skapat ett Yahoo-konto utan att inse att det var osäkert.

Ett stort gammalt brott

Yahoo tar nu en oönskad krona Vad du behöver veta om massiva LinkedIn-konton läcka Vad du behöver veta om massiva LinkedIn-konton läcka En hacker säljer 117 miljoner hackade LinkedIn-uppgifter på Dark webben för omkring $ 2 200 i Bitcoin. Kevin Shabazi, VD och grundare av LogMeOnce, hjälper oss att förstå vad som är i fara. Läs mer: den största företagsbristen i historien.

  • Yahoo - 500 miljoner användaruppgifter
  • MySpace - 359m
  • LinkedIn - 164m
  • Adobe - 152m
  • Badoo - 112m

I juli 2016 gjorde amerikanska telekommunikationsjätten Verizon ett förvärv på 5 miljarder dollar av Yahoos internetaffär. Även om denna överträdelse inte förväntas påverka förvärvet.

Verizon uttalande i eftermiddag om Yahoo säkerhetshändelse. $ VZ pic.twitter.com/KQTnyrjlJy

- Bob Varettoni (@bvar) 22 september 2016

Vårt råd är detsamma som vid allvarlig överträdelse av uppgifterna. Återställ dina lösenord. Granska även dina e-postmeddelanden och textmeddelanden under de närmaste veckorna och månaderna. Kom ihåg att Använd aldrig ditt kontouppgifter igen.

Återanvändning av referens inte ens en gång.

Har ditt konto påverkats? Är du förvånad över hur lång tid det tog Yahoo att agera? Vilken stor tjänst kommer att brytas nästa? Låt oss veta dina tankar nedan!

Utforska mer om: Hacking, Online Security, Lösenord.