Yahoo-læk placerer sig i toppen af liste over vilde data-indbrud

23. september 2016 kl. 15:269
Lækket af en halv mia. brugerkonti placerer Yahoo i toppen af liste over de vildeste dataskandaler.
person
Jakob Møllerhøj
journalist
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person
Jakob Møllerhøj
journalist

Hjemmesiden 'have i been pwned?', som drives af sikkerhedsbloggeren Troy Hunt, fører en rangliste over store datalæk.

I toppen af listen ligger MySpace med 359.420.698 lækkede konti. Så længe det varer.

For efter det er kommet frem, at Yahoo har fået lækket 500.000.000 brugerkonti, må det formodes, at internetvirksomheden placerer sig i toppen af listen, næste gang den opdateres.

Top-5 på listen kunne i så fald se således ud:

1. Ca. 500.000.000 Yahoo-konti

Yahoo-sikkerhedsbruddet blev bekræftet af Yahoo selv torsdag i denne uge og involverer ifølge amerikanske PCWorld mindst 500.000.000 brugerkonti. Mediet oplyser i den forbindelse at navne, mail-adresser, telefonnumre og hashede kodeord kan være blevet stjålet ved et hack, der fandt sted i 2014.

Artiklen fortsætter efter annoncen

Yahoo opdagede ifølge mediet CIO sikkerhedsbruddet, da en eller flere personer under handlet peace_of_mind havde sat påståede login-oplysninger for 200 mio. brugerkonti til salg på nettet. Disse data skulle stamme fra 2012.

Det lyssky datasalg fik Yahoo til at granske sine systemer nærmere, og det var i den forbindelse, at Yahoo opdagede, at et hack havde fundet sted i 2014.

Sikkerhedsanalytiker Vitali Kremez fra firmaet Flashpoint giver overfor CIO udtryk for, at de data, som peace_of_mind hævder at have til salg, er nogle andre data end data fra det senest fremkomne læk, som Yahoo nu har bekræftet.

Virksomheden Verizon, der er ved at færdiggøre købet af Yahoos kerneforretninger blev ifølge amerikanske Computerworld først bekendtgjort med datalækket to dage inden Yahoo - torsdag i denne uge - offentligt bekræftede det store læk af brugerkonti.

2. 359.420.698 MySpace-konti

Den nuværende og formodentligt snart tidligere nummer et på 'have i been pwned?'-listen er MySpace.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Hvad der formodes at have været omkring 2008 oplevede virksomheden et datalæk, hvor 360 mio. brugerkonti blev blotlagt. I maj 2016 blev kontiene sat til salg på nettet.

Dataene inkluderede mail-adresser, brugernavne og SHA1-hashes af de første 10 karakterer i de tilhørende kodeord lavet om til små bogstaver. Desuden var kodeordene genereret uden brug af et salt. Alt i alt en ikke videre forsvarlig omgang med folks kodeord.

'have i been pwned?' henviser til en historie hos Vice Motherboard og et indlæg hos Troy Hunt i forbindelse med MySpace-lækket.

3. 164.611.595 LinkedIn-konti

Flere har nok LinkedIn-datalækket, som blev offentliggjort i maj 2016, frisk i erindring.

Artiklen fortsætter efter annoncen

Ifølge 'have i been pwned?', der henviser til et indlæg hos Troy Hunt, fandt hacket bag lækket sted i 2012. Også her var kodeord hashed med SHA1 uden brug af salt. Mange kodeord blev knækket på kort tid.

4. 152.445.165 Adobe-konti

I oktober 2013 blev data for i omegnen af 153 mio. Adobe-konti tilgået. Lækket indebar blandt andet brugernavn, mail, et krypteret kodeord og ikke mindst et kodeords-hint i klartekst. Krypteringen af kodeordene var dårlig, og mange af dem blev hurtigt omdannet til klartekst, fortæller 'have i been pwned?', der blandt andet henviser til et indlæg hos Troy Hunt.

5. 112.005.531 Badoo-konti

Data for mere end 112 mio. brugerkonti, der efter sigende skulle stamme fra dating-sitet Badoo, dukkede op i juni 2016. Dataene er formentlig blevet gaflet år forinden, fortæller 'have i been pwned?', der linker til en artikel hos Vice Motherboard og et indlæg fra Troy Hunt selv.

Dataene skulle både indeholde mail-adresser, navn, fødselsdag og passwords hashet med MD5. 'have i been pwned?' har markeret Badoo-lækket som ikke-verificeret, da ægtheden af de lækkede data ikke har kunnet fastslås.

Værd at bemærke

Det er værd at bemærke, at Troy Hunt har valgt at rangordne sin liste af mængden af konti, der er blevet lækket data om, og ikke eksempelvis efter følsomheden af de lækkede data. Eksempelvis ville flere nok mene, at 1.000.000 lækkede mail-adresser ville være at foretrække frem for 1.000 lækkede patientjournaler.

9 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
18
Jonas Thomsen
27. september 2016 kl. 12:21

Jeg undres. Har Yahoo virkelig 500 millioner brugere og hvor mange af disse er ægte brugere og ikke bare nogen der er oprettet til at være anonym på til f.eks. spam?

  • more_vert
    • insert_linkKopier link
15
Niels Danielsen
25. september 2016 kl. 11:43

Det der generer mig, er, at du taler om "vore data" og dermed implicit giver udtryk for at du taler for flertallet. Du kan kun tale på egne vegne, og i mit tilfælde, synes jeg du er skadelig i forhold til gavnlig og nødvendig udvikling

Jeg håber at flertallets har holdninger der er tættere på Anne-Marie Krogsbøll's, end dine. Problemet er at politikkerne vender det blinde øje til, mens at de sælger data i mere eller mindre anonymiseret form til fortrinsvis amerikanske 'market intelligence' firmaer. Disse firmaer (eller nogen de samarbejder med) har plug-ins på stort set alle sites, og lever af at forbinde data fra mange kilder sammen, og de-anonymisere data i det omfang det er muligt. Der var en sag omkring en dansk journalist der var ved at købe data om danske diabetes patienter, men det amerikanske firma trak tilbudet tilbage da de opdagede at køberen var en dansk journalist. Det kunne tyde på at kontroversielle datasæt eksistere, men er kun tilgængelig for gode kunder, og politiske venner.

Det er faktisk et demokratisk problem, da asymmetrisk adgang til data kan bevirke at dem der allerede har magt og penge, kan bibeholde magten ved at tilsvine politiske konkurrenter.

  • more_vert
    • insert_linkKopier link
13
Nicolai Larsen
25. september 2016 kl. 09:38

Enig - og det burde man også vedr. den udbredte deling af vore meget følsomme sundhedsdata med udlandet - noget, vi jo hele tiden bliver lovet ikke sker:

Det der generer mig, er, at du taler om "vore data" og dermed implicit giver udtryk for at du taler for flertallet. Du kan kun tale på egne vegne, og i mit tilfælde, synes jeg du er skadelig i forhold til gavnlig og nødvendig udvikling. Menneskets overlevelse i fremtiden, er afhængig af at vi bliver "bedre", og for at blive bedre er vi nødt til at betragte alle parametre og mønstre i vores liv, sundhed osv. Hvilken religion spiller ind på hvilke sygdomsforløb, antibiotika resistens, medicin-mis(for)brug osv osv. At bruge vores data er en simpel forudsætning for at vi mennesker kan blive bedre i fremtiden, herunder at passe bedre på jord og natur, i et mere harmonisk samspil med jordens ressourcer og kapacitet.

Så venligst ikke tal om vore data, som om du snakker på flertallets vegne, for jeg er på udviklingens side, og jeg mener data skal bringes i spil, og aktivt være en del af at gøre tingene bedre i fremtiden. Dine indlæg er ensidige og forudsigelige, for det er samme smøre du smider afsted ved enhver lejlighed, hvor du fastholder debatten i spørgsmålet om vi skal eller ikke skal anvende data i vores udvikling.

Jeg ønsker at debatten skal handle om hvordan vi anvender data, og det kan vi ikke med mindre vi accepterer at vi SKAL anvende data. Men vi får aldrig en fornuftigs-baseret debat omkring hvordan vi gør det, når folk som dig ensidigt bekæmper at vi skal gøre det. Når vi har erkendt at du og jeg basalt set er flygtige og ligegyldige brikker i et holistisk perspektiv, og dermed, realistisk set, ikke påtager os en helt forkert opfattelse af at vi skal særbehandles, og behandles som unikke individer. Du er bare en lille bakterie her på jorden i dit korte liv, men alligevel har du opfattelsen af at du i en samfundsmæssig betragtning er både vigtig og betydningsfuld. Det er du ikke - hvad der betyder noget, er vores races overlevelse og udvikling.

Derfor, vi skal udvikle os og bruge alle de midler vi kan, herunder indsamle og anvende data i forskning osv, så vi skaber en bedre fremtid for både menneske og jord. Vi skal så vidt muligt gøre det under hensyntagen til sikkerhed, men udviklingen er prioriteten, og der vil altid være risici, - det er helt naturligt - det ved alle.

Du har ikke mere ret til at leve (overleve) end vores efterkommere, og du har ikke mere ret og bestemmelse over data end vores efterkommere, herunder det nuværende flertal. Så lad os lave gode løsninger sammen, i stedet for at bekæmpe hinanden i forsøget.

  • more_vert
    • insert_linkKopier link
12
Nicolai Larsen
25. september 2016 kl. 09:11

Jeg er helt på linje med dig Anne-Marie. Det virker som om vi er blevet en handelsvare for vores eget land.

Hvorfor kommer det bag på dig? Du er kun en flygtig brik i historien, og som menneske er du isoleret set slet ikke så vigtig, at du kan forlange at få en særbehandling. Samfundets udvikling og overlevelse handler da netop om hvordan man kan udnytte de ressourcer man har, og der er du og jeg bare er en del af den uendelige række. Du føler selvfølgelig, hvilket jeg kan læse på dit indlæg, at du er enormt vigtig her på jorden og i det danske samfund - men det er du ikke - du og jeg er kun ubetydelige brikker i det større spil. Så hop nu ned fra hesten, og vær lidt realistisk - hvis ikke du indser hvordan tingene er skruet sammen, og samtidig forventer at du skal behandles særligt og individuelt, så bør du overveje at kigge lidt i perpektiv.

  • more_vert
    • insert_linkKopier link
10
Bent Jensen
24. september 2016 kl. 12:41

Men jeg håber da ikke du selv er kørt hjem ;-)</p>
<p>

Det var nu mere de 3 indlæg direkte i træk. Men kan da godt se at det kan forsvares, for at holde emner adskilt. Men som jeg også skriv, lidt kort for hovedet. Var lidt stresset.

Nogen dage skal man bare ikke svare, eller skrive :-) Beklager.

  • more_vert
    • insert_linkKopier link
8
Michael T. Jensen
24. september 2016 kl. 12:21

Men jeg tager da dine ord til mig, og vil tænke over dem - men lige umiddelbart forstår jeg ikke, at du ikke kan se relevansen. Men det kan da være, at jeg ikke i tilstrækkelig grad har formuleret denne, fordi den forekom mig indlysende - hvad den så ikke er for dig.

Jeg er helt på linje med dig Anne-Marie. Det virker som om vi er blevet en handelsvare for vores eget land... Det bliver et af de issues, jeg kommer til at vægte ifm. kommende valg sammen med Offentlighedsloven (som den jo hedder i newspeak). Fortsæt endelig med din kritik af vores myndigheders lemfældige omgang med vores data!

  • more_vert
    • insert_linkKopier link
6
Kenn Nielsen
24. september 2016 kl. 03:42

Øøøhhh ?!?

Synes ellers at hun har ret relevante pointer.

Jeg ser overhovedet ikke noget problem.

  • Men jeg håber da ikke du selv er kørt hjem ;-)

K

  • more_vert
    • insert_linkKopier link
5
Bent Jensen
24. september 2016 kl. 01:10

Det klæder dig ikke, som nogen som helst anden at spamme, eller lave thumbs up.

Kan du ikke se at finde ud af om du ved, At

færdigt med at diskutere, også med dig selv,

om der er tid. til at trykke på "enter" når man nu ikke er færdigt med sin udmelding.

Og "kopy past" kun er til korte link eller tekst.

"fy" man jer op .

"Beklager lidt kort for hovedet,"

  • more_vert
    • insert_linkKopier link
1
Bent Jensen
23. september 2016 kl. 16:27

Og den nye datalovgivning er træt i kraft. Så ville forsøg på at skjule det koste 4% Men alle kunderne skal vel stadig informeres, hvis de vil overholde den nye aftale med EU ?

  • more_vert
    • insert_linkKopier link