Yahoo overgår sig selv i nyt datalæk: Oplysninger fra 1 milliard brugere stjålet

Illustration: leowolfert/Bigstock
Oplysninger om et nyt læk kommer måneder efter Yahoo afslørede monsterhack.

Der er efterhånden formentlig ikke mange Yahoo-brugere, hvis oplysninger ikke er faldet i de forkerte hænder.

IT-selskabet fortalte i september, at oplysninger på 500 millioner brugere var blevet lækket i et sikkerhedsbrud.

I dag har Yahoo imidlertid annonceret, at hele én milliard brugere er blevet kompromitteret i en anden, separat sikkerhedshændelse. En eller flere hackere har tilsyneladende også fundet ud af, hvordan man kan logge ind på en Yahoo-konto uden at kende kodeordet, advarer selskabet.

Det skriver sikkerhedsblogger Brian Krebs på KrebsOnSecurity.

Læs også: Gigalæk: Data fra 500 millioner Yahoo-brugere er stjålet

Angrebet bag det nye giga-læk skulle være fundet sted i august 2013. De stjålne information kan ifølge Yahoo inkludere navn, mail-adresse, telefonnummer, fødselsdato, hashed kodeord (MD5) og - i nogle tilfælde - krypterede eller ukrypterede sikkerhedsspørgsmål og svar.

I en meddelelse fra Yahoos sikkerhedschef Bob Lord fremgår det, at hackere har fundet ud af, hvordan man kan 'forfalske' en autentifikations-cookie, som Yahoo sætter på brugerens computer, når han eller hun logger ind.

Læs også: Yahoo kendte til gigalæk tilbage i 2014

På den måde har hackere fået adgang til brugerkonti - uden at bruge et kodeord, oplyser Bob Lord, der sammen med resten af selskabet nu er i færd med at kontakte berørte brugere.

Yahoo har endnu ikke identificeret det egentlige sikkerhedsbrud, som har ledt til kæmpe-lækket. Men ifølge Bob Lord er dele af aktiviteten kædet sammen med de samme angiveligt stats-støttede aktører som stod bag det datatyveri, selskabet offentliggjorde i september.

Yahoo forventede tidligere på året at blive solgt til teleselskabet Verizon. Efter afsløringen i september bad Verizon om et milliard-nedslag i prisen på 4.8 milliarder dollars.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Simon Mikkelsen

Lige siden Titanic har man lavet skibe der ikke kan synke. Nogle gange går det bedre end andre. Men Vi må efterhånden indse, at data slipper ud. Uanset om man hedder Yahoo eller NSA så er det bevist at data slipper ud. Alt på internettet ligger trods alt ikke mere end max 100 ms fra alle Verdens kriminelle.

Det vi kan gøre for at beskytte os er, ikke at genbruge kodeord og bruge 2-faktor auth når det er muligt. Vælg en yndlings password-husker og lav nogle dejligt lange og tilfældige kodeord. Så man kan nemt skifte dem når de bliver stjålet.

Og som Finn påpeger: Vor Herre til hest, hvis man kun bruger MD5. Følg hans link til PKHs side og gør som han skriver. Så er man som udvikler et godt stykke af vejen.

  • 5
  • 0
Log ind eller Opret konto for at kommentere