HWSW MOBIL normál verzió

Egymilliárd Yahoo-felhasználó adatait lopták el

Gálffy Csaba, 2016. december 15. 12:54
14 komment

Nem találja a nyomait a Yahoo a behatolásnak, de a kinyert adatok igazolják - lopás történt. Gyengén védett jelszavak, nevek, születési adatok a kinyert adatbázisban.

Újabb elképesztő méretű adatlopás áldozata a Yahoo. A cég közlése szerint akár egymilliárd különböző felhasználói fiók adatait is ellophatták a támadók, ezzel a cég köröket ver korábbi masszív adatszivárgására, a korábban rekorder 500 millió Yahoo-felhasználót érintett. A cég közlése szerint ez a nagyobb, milliárdos adatlopás időben korábbi, erre még 2013 augusztusában kerülhetett sor az eddigi információk alapján. A cég számítógépes rendszerében hagyott nyomokat a Yahoo mérnökei és külsős cégek együtt vizsgálják, egyelőre azonban nem találták meg a behatolás jeleit a naplófájlokban.

Egészen abszurd, hogy a Yahoo a támadás tényére is csak a rendvédelmi szervek jelzése alapján figyelt fel. A hatóság ugyanis olyan adatbázisokat szerzett meg a feketepiacon, amelyekről az értékesítők azt állították, a Yahoo-tól származnak. Az adatbázis és a Yahoo biztonsági mentéseinek összevetéséből kiderült, hogy ez a korábban bejelentett 2014-es adatlopásnál korábbi adatokat tartalmaz, és valószínűleg egy másik, attól független támadás során került ki a cégtől.

A "nyertesek" ilyen levelet olvashatnak ma a Yahoo-tól.

A kikerült adatok között a regisztrációnál használt név, email cím, telefonszám, születési dátum, gyengén (MD5-tel) hash-elt jelszavak, és bizonyos esetekben titkosított és titkosítatlan biztonsági kérdések szerepelnek. Minimális vigasz, hogy sima szövegként tárolt jelszavak nem voltak az adatlopás részei - ennél azonban az MD5 csak egy árnyalatnyival számít jobbnak (a cég 2013 nyarán kezdte el a sokkal erősebb bcrypt bevezetését). Pénzügyi adatokat, bankkártya-adatokat nem vittek a támadók.

Tovább is van, mondjam még?

A rossz híreknek ezzel még nincs vége. A Yahoo "már korábban közölte", hogy vizsgál egy különleges, hamisított sütiket (cookie-kat) használó támadást, amellyel támadók jelszó nélkül is hozzáférhettek a felhasználói fiókokhoz. Ez rögtön szöget ütött az újságírók és biztonsági szakértők fejébe, ilyen közlésről ugyanis nem tudtunk - némi kereséssel viszont kiderült, hogy az amerikai tőzsdefelügyelethez eljuttatott 84 oldalas pénzügyi jelentésben rejtette el ezt az információt a cég.

"A folyó vizsgálat alapján úgy hisszük, hogy egy jogosulatlan fél hozzáfért a forráskódhoz, és ebből szerzett információt a cookie-hamisításhoz." A cég külön kiértesíti az érintetteket, a hamisított sütiket pedig érvényteleníti. A támadást egyébként állami szereplőhöz köti a Yahoo - ugyanahhoz, amely a 2014-es adatlopást is végrehajtotta.

Nem tűnt lehetségesnek a félmilliárdos adatlopás után, de a Yahoo most újra alulmúlta magát az informatikai biztonságot tekintve. Egyrészt nemrég kiderült, hogy a cég alkalmazottai régen, 2014-ben is tudtak a 2014-es adatlopásról, arról azonban a cég egészen idén szeptemberig nem értesítette erről a felhasználókat. Ez felelőtlen lépés, hiszen az információ hiányában a felhasználók védekezni sem tudtak (jelszócsere, stb.) ezzel a cég komoly veszélybe sodorta a őket.

A hivatalos közleményt itt lehet olvasni.

Kétfaktoros autentikációt és jelszókezelőt - azonnal

A legrosszabb dolog, amit tehetünk, az a jelszavak újrahasznosítása különböző online szolgáltatások között. Ez lehetővé teszi, hogy egyik szolgáltatás feltörésével dominószerűen a többihez is hozzáférést nyerjenek a támadók. Ezért a HWSW minden esetben a kétfaktoros autentikáció és jelszókezelő használatát javasolja, sürgősen. Utóbbi arra megoldás, hogy minden szolgáltatásban egyedi, erős jelszót tudjunk használni anélkül, hogy azt minden esetben fejben kellene tartani, előbbi pedig a jelszóvesztés esetén sem teszi lehetővé a felhasználói fiókhoz való hozzáférést. A jelszókezelésre vannak már jó megoldások, amelyek mobileszközön is működnek és ingyenesek (például a LastPass).

14 komment

Nyaralás után

Augusztus 28-án és 29-én Scrum és Java fejlesztői meetupokkal jövünk. A program éles, lehet regisztrálni.