Gegevens 1 miljard Yahoo-gebruikers in 2013 gestolen
Na een datalek in 2014 waarbij de gegevens van 500 miljoen Yahoo-gebruikers werden gestolen zijn bij een ander incident een jaar eerder de gegevens van meer dan 1 miljard gebruikers buitgemaakt. Verder blijkt dat aanvallers zonder wachtwoord op Yahoo-accounts konden inloggen.
Dat heeft de internetgigant via de eigen website bekendgemaakt. De informatie die in augustus 2013 werd gestolen bestaat uit namen, e-mailadressen, telefoonnummers, geboortedata, via het md5-algoritme gehashte wachtwoorden en in sommige gevallen versleutelde of onversleutelde veiligheidsvragen en antwoorden. Md5-wachtwoordhashes blijken in de praktijk eenvoudig te kraken, waardoor aanvallers ook het bijbehorende wachtwoord kunnen achterhalen.
Eerder had Yahoo al aangegeven dat het een manier onderzocht waardoor aanvallers via vervalste cookies toegang tot accounts wisten te krijgen, zonder dat hierbij een wachtwoord benodigd was. Nu stelt de internetgigant dat een derde partij toegang tot de code van Yahoo heeft gekregen om te leren hoe cookies moesten worden vervalst om zo toegang tot accounts te krijgen. De accounts waarvoor dit is gebruikt zijn inmiddels geïdentificeerd en de vervalste cookies zijn ongeldig gemaakt. Een deel van deze activiteiten zou het werk zijn van de aanvallers die ook de gegevens van 500 miljoen gebruikers zouden hebben gestolen.
Yahoo gaat alle getroffen gebruikers waarschuwen en heeft gebruikers verplicht om hun wachtwoord te wijzigen. Tevens zijn alle onversleutelde veiligheidsvragen om wachtwoorden te resetten ongeldig gemaakt. Verder heeft Yahoo maatregelen getroffen om de systemen beter tegen vervalste cookies te beschermen.
Zouden er ook nog NIET getroffen gebruikers kunnen zijn bij Yahoo, 1 MILJARD !!
<<<< klik op deze link om te kijken of uw wachtwoord gestolen is bij YAHOO >>>
YAHOO!!!
Ik hou mijn hart vast mbt Google
Niet?
Maar feit blijft dat we lange tijd hebben gedacht, dat het beter was.
Eigenlijk was de werkelijke situatie steeds heel erg zorgwekkend en is die dat nog steeds.
En wat weten we nu eigenlijk van de ware onveiligheid van de infrastructuur.
Het wordt altijd mooier voorgesteld als het in het echt is.
Dan gaat er nog een heleboel per geluk lange tijd goed, eer het goed fout gaat.
Als meer als de helft van de websites niet voldoet aan wat we kennen als "best practices"
en een zeer groot gedeelte onvoldoende van patches en updates is voorzien.
Als er ook nog een heleboel beveiliging domweg vergeten wordt omdat het niet past binnen het kosten plaatje.
Dan is het misschien wel vaak een wonder dat het nog zo lang goed blijft gaan.
We noemen even op om op te frissen: phishen, spammen, seo redirecten, cloaking, javascript malware, inline scripten, kwetsbare software vol met bekende en onbekende bugs, misconfiguraties (server, CMS), verkeerde instellingen, verkeerd ingestelde certificaten,omgekeerde encryptie (vanaf de zwakste kant geserveerd) CSP niet toegepast, XSS-DOM kwetsbaarheden op scripts zonder sri-hashes (tegen safe origin principe gezondigd), SGL injecties, DROWn kwetsbare servertjes die het hele areaal erboven aansteken. Alles afgezien van overige malware, crapware, adware, PUPs en andere meuk code.
Mag ik zo nog even doorgaan? Die het dagelijks zien, richten een blik op een php versie en php code naam en weten,
weer een website die elk moment gehacked en gedefaced kan worden. Noemen we nog server info proliferatie, onveilige http cookies, clickjacking, onveilige IDs tracking, en een hele rits aan zaken aan de kant, van de client, zoals daar zijn CanvasFingerprinting, Strict CSP niet afgedwongen, Stun server WebRTC lekken, WebGL niet uitgezet, etc. etc.
Nee, verder opnoemen dat doe ik niet, maar men heeft het inmiddels wel begrepen, denk ik.
Wat gaan we eraan doen met zijn allen? Tijd om even enerverend innovatief aan de slag te gaan
en tijd voor beveiligingseducatie! Ik doe in ieder geval mee. U ook?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
