Yahoo-læk placerer sig i toppen af liste over vilde data-indbrud

Lækket af en halv mia. brugerkonti placerer Yahoo i toppen af liste over de vildeste dataskandaler.

Hjemmesiden 'have i been pwned?', som drives af sikkerhedsbloggeren Troy Hunt, fører en rangliste over store datalæk.

I toppen af listen ligger MySpace med 359.420.698 lækkede konti. Så længe det varer.

For efter det er kommet frem, at Yahoo har fået lækket 500.000.000 brugerkonti, må det formodes, at internetvirksomheden placerer sig i toppen af listen, næste gang den opdateres.

Top-5 på listen kunne i så fald se således ud:

1. Ca. 500.000.000 Yahoo-konti

Yahoo-sikkerhedsbruddet blev bekræftet af Yahoo selv torsdag i denne uge og involverer ifølge amerikanske PCWorld mindst 500.000.000 brugerkonti. Mediet oplyser i den forbindelse at navne, mail-adresser, telefonnumre og hashede kodeord kan være blevet stjålet ved et hack, der fandt sted i 2014.

Yahoo opdagede ifølge mediet CIO sikkerhedsbruddet, da en eller flere personer under handlet peace_of_mind havde sat påståede login-oplysninger for 200 mio. brugerkonti til salg på nettet. Disse data skulle stamme fra 2012.

Det lyssky datasalg fik Yahoo til at granske sine systemer nærmere, og det var i den forbindelse, at Yahoo opdagede, at et hack havde fundet sted i 2014.

Sikkerhedsanalytiker Vitali Kremez fra firmaet Flashpoint giver overfor CIO udtryk for, at de data, som peace_of_mind hævder at have til salg, er nogle andre data end data fra det senest fremkomne læk, som Yahoo nu har bekræftet.

Virksomheden Verizon, der er ved at færdiggøre købet af Yahoos kerneforretninger blev ifølge amerikanske Computerworld først bekendtgjort med datalækket to dage inden Yahoo - torsdag i denne uge - offentligt bekræftede det store læk af brugerkonti.

2. 359.420.698 MySpace-konti

Den nuværende og formodentligt snart tidligere nummer et på 'have i been pwned?'-listen er MySpace.

Hvad der formodes at have været omkring 2008 oplevede virksomheden et datalæk, hvor 360 mio. brugerkonti blev blotlagt. I maj 2016 blev kontiene sat til salg på nettet.

Dataene inkluderede mail-adresser, brugernavne og SHA1-hashes af de første 10 karakterer i de tilhørende kodeord lavet om til små bogstaver. Desuden var kodeordene genereret uden brug af et salt. Alt i alt en ikke videre forsvarlig omgang med folks kodeord.

'have i been pwned?' henviser til en historie hos Vice Motherboard og et indlæg hos Troy Hunt i forbindelse med MySpace-lækket.

3. 164.611.595 LinkedIn-konti

Flere har nok LinkedIn-datalækket, som blev offentliggjort i maj 2016, frisk i erindring.

Ifølge 'have i been pwned?', der henviser til et indlæg hos Troy Hunt, fandt hacket bag lækket sted i 2012. Også her var kodeord hashed med SHA1 uden brug af salt. Mange kodeord blev knækket på kort tid.

4. 152.445.165 Adobe-konti

I oktober 2013 blev data for i omegnen af 153 mio. Adobe-konti tilgået. Lækket indebar blandt andet brugernavn, mail, et krypteret kodeord og ikke mindst et kodeords-hint i klartekst. Krypteringen af kodeordene var dårlig, og mange af dem blev hurtigt omdannet til klartekst, fortæller 'have i been pwned?', der blandt andet henviser til et indlæg hos Troy Hunt.

5. 112.005.531 Badoo-konti

Data for mere end 112 mio. brugerkonti, der efter sigende skulle stamme fra dating-sitet Badoo, dukkede op i juni 2016. Dataene er formentlig blevet gaflet år forinden, fortæller 'have i been pwned?', der linker til en artikel hos Vice Motherboard og et indlæg fra Troy Hunt selv.

Dataene skulle både indeholde mail-adresser, navn, fødselsdag og passwords hashet med MD5. 'have i been pwned?' har markeret Badoo-lækket som ikke-verificeret, da ægtheden af de lækkede data ikke har kunnet fastslås.

Værd at bemærke

Det er værd at bemærke, at Troy Hunt har valgt at rangordne sin liste af mængden af konti, der er blevet lækket data om, og ikke eksempelvis efter følsomheden af de lækkede data. Eksempelvis ville flere nok mene, at 1.000.000 lækkede mail-adresser ville være at foretrække frem for 1.000 lækkede patientjournaler.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
     
#5 Bent Jensen

Det klæder dig ikke, som nogen som helst anden at spamme, eller lave thumbs up.

Kan du ikke se at finde ud af om du ved, At

færdigt med at diskutere, også med dig selv,

om der er tid. til at trykke på "enter" når man nu ikke er færdigt med sin udmelding.

Og "kopy past" kun er til korte link eller tekst.

"fy" man jer op .

"Beklager lidt kort for hovedet,"

  • 1
  • 21
 
#8 Michael T. Jensen

Men jeg tager da dine ord til mig, og vil tænke over dem - men lige umiddelbart forstår jeg ikke, at du ikke kan se relevansen. Men det kan da være, at jeg ikke i tilstrækkelig grad har formuleret denne, fordi den forekom mig indlysende - hvad den så ikke er for dig.

Jeg er helt på linje med dig Anne-Marie. Det virker som om vi er blevet en handelsvare for vores eget land... Det bliver et af de issues, jeg kommer til at vægte ifm. kommende valg sammen med Offentlighedsloven (som den jo hedder i newspeak). Fortsæt endelig med din kritik af vores myndigheders lemfældige omgang med vores data!

  • 13
  • 0
   
#12 Nicolai Larsen

Jeg er helt på linje med dig Anne-Marie. Det virker som om vi er blevet en handelsvare for vores eget land.

Hvorfor kommer det bag på dig? Du er kun en flygtig brik i historien, og som menneske er du isoleret set slet ikke så vigtig, at du kan forlange at få en særbehandling. Samfundets udvikling og overlevelse handler da netop om hvordan man kan udnytte de ressourcer man har, og der er du og jeg bare er en del af den uendelige række. Du føler selvfølgelig, hvilket jeg kan læse på dit indlæg, at du er enormt vigtig her på jorden og i det danske samfund - men det er du ikke - du og jeg er kun ubetydelige brikker i det større spil. Så hop nu ned fra hesten, og vær lidt realistisk - hvis ikke du indser hvordan tingene er skruet sammen, og samtidig forventer at du skal behandles særligt og individuelt, så bør du overveje at kigge lidt i perpektiv.

  • 1
  • 8
#13 Nicolai Larsen

Enig - og det burde man også vedr. den udbredte deling af vore meget følsomme sundhedsdata med udlandet - noget, vi jo hele tiden bliver lovet ikke sker:

Det der generer mig, er, at du taler om "vore data" og dermed implicit giver udtryk for at du taler for flertallet. Du kan kun tale på egne vegne, og i mit tilfælde, synes jeg du er skadelig i forhold til gavnlig og nødvendig udvikling. Menneskets overlevelse i fremtiden, er afhængig af at vi bliver "bedre", og for at blive bedre er vi nødt til at betragte alle parametre og mønstre i vores liv, sundhed osv. Hvilken religion spiller ind på hvilke sygdomsforløb, antibiotika resistens, medicin-mis(for)brug osv osv. At bruge vores data er en simpel forudsætning for at vi mennesker kan blive bedre i fremtiden, herunder at passe bedre på jord og natur, i et mere harmonisk samspil med jordens ressourcer og kapacitet.

Så venligst ikke tal om vore data, som om du snakker på flertallets vegne, for jeg er på udviklingens side, og jeg mener data skal bringes i spil, og aktivt være en del af at gøre tingene bedre i fremtiden. Dine indlæg er ensidige og forudsigelige, for det er samme smøre du smider afsted ved enhver lejlighed, hvor du fastholder debatten i spørgsmålet om vi skal eller ikke skal anvende data i vores udvikling.

Jeg ønsker at debatten skal handle om hvordan vi anvender data, og det kan vi ikke med mindre vi accepterer at vi SKAL anvende data. Men vi får aldrig en fornuftigs-baseret debat omkring hvordan vi gør det, når folk som dig ensidigt bekæmper at vi skal gøre det. Når vi har erkendt at du og jeg basalt set er flygtige og ligegyldige brikker i et holistisk perspektiv, og dermed, realistisk set, ikke påtager os en helt forkert opfattelse af at vi skal særbehandles, og behandles som unikke individer. Du er bare en lille bakterie her på jorden i dit korte liv, men alligevel har du opfattelsen af at du i en samfundsmæssig betragtning er både vigtig og betydningsfuld. Det er du ikke - hvad der betyder noget, er vores races overlevelse og udvikling.

Derfor, vi skal udvikle os og bruge alle de midler vi kan, herunder indsamle og anvende data i forskning osv, så vi skaber en bedre fremtid for både menneske og jord. Vi skal så vidt muligt gøre det under hensyntagen til sikkerhed, men udviklingen er prioriteten, og der vil altid være risici, - det er helt naturligt - det ved alle.

Du har ikke mere ret til at leve (overleve) end vores efterkommere, og du har ikke mere ret og bestemmelse over data end vores efterkommere, herunder det nuværende flertal. Så lad os lave gode løsninger sammen, i stedet for at bekæmpe hinanden i forsøget.

  • 1
  • 8
 
#15 Niels Danielsen

Det der generer mig, er, at du taler om "vore data" og dermed implicit giver udtryk for at du taler for flertallet. Du kan kun tale på egne vegne, og i mit tilfælde, synes jeg du er skadelig i forhold til gavnlig og nødvendig udvikling

Jeg håber at flertallets har holdninger der er tættere på Anne-Marie Krogsbøll's, end dine. Problemet er at politikkerne vender det blinde øje til, mens at de sælger data i mere eller mindre anonymiseret form til fortrinsvis amerikanske 'market intelligence' firmaer. Disse firmaer (eller nogen de samarbejder med) har plug-ins på stort set alle sites, og lever af at forbinde data fra mange kilder sammen, og de-anonymisere data i det omfang det er muligt. Der var en sag omkring en dansk journalist der var ved at købe data om danske diabetes patienter, men det amerikanske firma trak tilbudet tilbage da de opdagede at køberen var en dansk journalist. Det kunne tyde på at kontroversielle datasæt eksistere, men er kun tilgængelig for gode kunder, og politiske venner.

Det er faktisk et demokratisk problem, da asymmetrisk adgang til data kan bevirke at dem der allerede har magt og penge, kan bibeholde magten ved at tilsvine politiske konkurrenter.

  • 9
  • 0
   
#19 Palle Due Larsen

Jeg tror, jeg har spurgt dig før, uden held: Har du personligt noget i klemme ift. dette?

Og hvad med det her, Nicolai Larsen: http://www.bold.dk/fodbold/nyheder/aab-keeper-erkender-fejl-mod-silkeborg/, var det også dig? Den skulle du have taget.

Spøg til side. @Anne-Marie: Hvis du går tilbage i Nicolais historik, så står han tidligere som Nicolai Frydenlund. Hvis du finder Nicolai Frydenlund Larsen på LinkedIn har han ingen M.D eller Ph.D. Så det er et lidt løst grundlag for at beskylde Nicolai for dette og hint.

  • 0
  • 0
       
#25 Kenn Nielsen

Det kalder jeg "jäv". Så er det jo ikke så mærkeligt, at Nicolai synes, at der skal være udbredt adgang til vore personlige oplysninger. Hvilket er helt i orden, hvis der er tale om en konkret mistanke mod en eller anden - men bestemt ikke i andre tilfælde!

Hmm..

Man kan vel ikke klandres for at spekulere på hvormeget han brænder for at efterforske datalæk, når overbevisningen er at alles data tilhøre alle (andre)..

Personlig overbevisning er - naturligvis - ...personlig.. Men jeg syn's ikke jeg fik mere tillid til 'systemet'...Nå det er nok bare mig..

K

  • 1
  • 0
 
#27 Kenn Nielsen
  • 1
  • 0
       
Log ind eller Opret konto for at kommentere