Yahoo overgår sig selv i nyt datalæk: Oplysninger fra 1 milliard brugere stjålet

15. december 2016 kl. 10:205
Yahoo overgår sig selv i nyt datalæk: Oplysninger fra 1 milliard brugere stjålet
Illustration: Henrik Nordstrøm Mortensen.
Oplysninger om et nyt læk kommer måneder efter Yahoo afslørede monsterhack.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Der er efterhånden formentlig ikke mange Yahoo-brugere, hvis oplysninger ikke er faldet i de forkerte hænder.

IT-selskabet fortalte i september, at oplysninger på 500 millioner brugere var blevet lækket i et sikkerhedsbrud.

I dag har Yahoo imidlertid annonceret, at hele én milliard brugere er blevet kompromitteret i en anden, separat sikkerhedshændelse. En eller flere hackere har tilsyneladende også fundet ud af, hvordan man kan logge ind på en Yahoo-konto uden at kende kodeordet, advarer selskabet.

Det skriver sikkerhedsblogger Brian Krebs på KrebsOnSecurity.

Artiklen fortsætter efter annoncen

Angrebet bag det nye giga-læk skulle være fundet sted i august 2013. De stjålne information kan ifølge Yahoo inkludere navn, mail-adresse, telefonnummer, fødselsdato, hashed kodeord (MD5) og - i nogle tilfælde - krypterede eller ukrypterede sikkerhedsspørgsmål og svar.

I en meddelelse fra Yahoos sikkerhedschef Bob Lord fremgår det, at hackere har fundet ud af, hvordan man kan 'forfalske' en autentifikations-cookie, som Yahoo sætter på brugerens computer, når han eller hun logger ind.

På den måde har hackere fået adgang til brugerkonti - uden at bruge et kodeord, oplyser Bob Lord, der sammen med resten af selskabet nu er i færd med at kontakte berørte brugere.

Yahoo har endnu ikke identificeret det egentlige sikkerhedsbrud, som har ledt til kæmpe-lækket. Men ifølge Bob Lord er dele af aktiviteten kædet sammen med de samme angiveligt stats-støttede aktører som stod bag det datatyveri, selskabet offentliggjorde i september.

Yahoo forventede tidligere på året at blive solgt til teleselskabet Verizon. Efter afsløringen i september bad Verizon om et milliard-nedslag i prisen på 4.8 milliarder dollars.

5 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
4
4. oktober 2017 kl. 14:52

Yahoo? Burde artiklen ikke være stoppet her:

"Der er efterhånden formentlig ikke mange Yahoo-brugere."

...

3
15. december 2016 kl. 17:17

Der er vel snarere tale om et relativt gammelt datalæk.

2
15. december 2016 kl. 11:12

Lige siden Titanic har man lavet skibe der ikke kan synke. Nogle gange går det bedre end andre. Men Vi må efterhånden indse, at data slipper ud. Uanset om man hedder Yahoo eller NSA så er det bevist at data slipper ud. Alt på internettet ligger trods alt ikke mere end max 100 ms fra alle Verdens kriminelle.

Det vi kan gøre for at beskytte os er, ikke at genbruge kodeord og bruge 2-faktor auth når det er muligt. Vælg en yndlings password-husker og lav nogle dejligt lange og tilfældige kodeord. Så man kan nemt skifte dem når de bliver stjålet.

Og som Finn påpeger: Vor Herre til hest, hvis man kun bruger MD5. Følg hans link til PKHs side og gør som han skriver. Så er man som udvikler et godt stykke af vejen.