Werbung
Der Webgigant Yahoo hat einen enormen Datenverstoß erlitten. Der Verstoß, der 2014 stattfand, führte dazu, dass 500 Millionen Yahoo-Nutzer informiert wurden zum Verkauf im dunklen Netz angeboten 10 wenig bekannte Ecken des Deep Web, die Sie vielleicht wirklich mögenDas dunkle Web hat einen schlechten Ruf, aber es gibt einige wirklich nützliche dunkle Websites, die Sie vielleicht überprüfen möchten. Weiterlesen .
Das Ausmaß des Diebstahls stellt andere wichtige Datenverletzungen in jüngster Zeit in den Schatten und stellt die bei Yahoo geltenden Sicherheitspraktiken fest in den Mittelpunkt.
Was wurde verletzt?
Yahoo gab eine Erklärung ab Bestätigung und Detaillierung der Sicherheitsverletzungund behaupten, dass die Daten von „staatlich geförderten“ Hackern gestohlen wurden. Informationen wie Namen, E-Mail-Adressen, Telefonnummern und Sicherheitsfragen wurden dem Unternehmen 2014 gestohlen.
„Eine kürzlich von Yahoo durchgeführte Untersuchung hat bestätigt, dass Ende 2014 eine Kopie bestimmter Benutzerkontoinformationen von einem unserer Meinung nach staatlich geförderten Schauspieler aus unserem Netzwerk gestohlen wurde. Wir arbeiten eng mit den Strafverfolgungsbehörden zusammen und informieren potenziell betroffene Benutzer darüber, wie sie ihre Konten weiter sichern können. “
Ein kleines positives Ergebnis ist das Wissen, dass der Verstoß keine „ungeschützten Passwörter, Zahlungskartendaten oder Bankkontoinformationen“ enthielt. Trotzdem ist die Die von Yahoo herausgegebenen Aussagen werden weitere Fragen von Sicherheitsforschern zum Zeitplan der Ereignisse sowie zu den Maßnahmen des Unternehmens in den folgenden Tagen aufwerfen die Verletzung.
BREAKING: 500 Millionen #Yahoo Im Jahr 2014 kompromittierte Konten Hack. In anderen schockierenden Nachrichten haben 500 Millionen Menschen Yahoo-Konten.
- Ben Canner (@InfoSec_Review) 22. September 2016
Wichtige Fragen aufwerfen
Ganz oben auf der Liste der Fragen vieler Sicherheitsforscher steht einfach „Warum hat es so lange gedauert, einen Hack zu bestätigen? Warum Unternehmen, die Verstöße geheim halten, eine gute Sache sein könntenBei so vielen Online-Informationen sorgen wir uns alle um mögliche Sicherheitsverletzungen. Aber diese Verstöße könnten in den USA geheim gehalten werden, um Sie zu schützen. Es klingt verrückt, also was ist los? Weiterlesen dieser Größenordnung? " Dies führt auch leicht zu anderen Fragen. Warum hat Yahoo so lange gebraucht, um seine Benutzer über den Verstoß zu informieren?
Yahoo sendet jetzt Benachrichtigungen über Verstöße an Kunden: pic.twitter.com/AjbDJYQCIH
- Troy Hunt (@troyhunt) 23. September 2016
Die Vorstellung eines staatlich geförderten Angriffs ist ebenfalls rätselhaft. Bisher hat Yahoo keine Beweise vorgelegt, die den Verstoß mit einem nationalstaatlichen Akteur in Verbindung bringen, obwohl drei US-Geheimdienstbeamte - die sich weigerten, namentlich identifiziert zu werden - gegenüber Reuters bestätigt:
"... sie glaubten, der Angriff sei staatlich gefördert worden, weil er früheren Hacks ähnelte, die auf russische Geheimdienste oder Hacker zurückzuführen waren, die auf ihre Anweisung hin handelten."
Auch wenn die Verletzung hatte Ähnlichkeit mit früheren nationalstaatlichen Angriffen Wenn Regierungen angreifen: Malware des Nationalstaates aufgedecktDerzeit findet ein Cyberkrieg statt, der im Internet verborgen ist und dessen Ergebnisse nur selten beobachtet werden. Aber wer sind die Spieler in diesem Kriegsschauplatz und was sind ihre Waffen? Weiterlesen Diese Verstöße führen normalerweise nicht zur Freigabe privater Benutzerdaten. Seltener findet man diese immer noch Anmeldeinformationen, die im dunklen Internet zum Verkauf angeboten werden So viel könnte Ihre Identität im Dark Web wert seinEs ist unangenehm, sich als Ware zu betrachten, aber alle Ihre persönlichen Daten, von Name und Adresse bis hin zu Bankkontodaten, sind für Online-Kriminelle etwas wert. Wie viel bist du wert? Weiterlesen .
Eine weitere Intrige ist die Identität des einzelnen verkaufenden Teils der Datenverletzung. Ein Benutzer namens "Peace of Mind", der auch Datendumps der Verstöße gegen MySpace und LinkedIn verkauft hatte, warb aktiv für die Daten.
Jeremiah Grossman, Leiter Sicherheitsstrategie bei SentinelOne, sagte "Obwohl wir wissen, dass die Informationen Ende 2014 gestohlen wurden, haben wir keinen Hinweis darauf, wann Yahoo zum ersten Mal von diesem Verstoß erfahren hat. Dies ist ein wichtiges Detail in der Geschichte. “
Grossman glaubt, dass Peace of Mind als „Profiteur-Hacker“ höchstwahrscheinlich keine staatliche Patenschaft erhalten hätte. "Dies bedeutet, dass wir möglicherweise zwei verschiedene Yahoo-Verstöße mit zwei verschiedenen Hacking-Gruppen in ihrem System untersuchen."
„Die große Anzahl der von diesem Cyberangriff betroffenen Menschen ist atemberaubend und zeigt, wie schwerwiegend die Folgen eines Sicherheitshacks sein können… Wir Ich kenne noch nicht alle Details, wie dieser Hack passiert ist, aber es gibt hier eine ernüchternde und wichtige Botschaft für Unternehmen, die Personal erwerben und damit umgehen Daten. Die persönlichen Daten von Personen müssen unter Schloss und Riegel sicher geschützt werden - und dieser Schlüssel darf für Hacker nicht zu finden sein. " - Informationskommissarin des Vereinigten Königreichs, Elizabeth Denham
Wie ernst ist das?
Die Erklärung von Yahoo bestätigte, dass die überwiegende Mehrheit der gestohlenen Passwörter mit bcrypt gehasht wurde. Beim Hashing wird ein Kennwort in einen „Fingerabdruck“ fester Länge umgewandelt, der abgerufen und überprüft wird, wenn ein Benutzer versucht, sich anzumelden. Dies ist eine grundlegende Methode zum Schutz von Benutzerinformationen Jede sichere Website tut dies mit Ihrem PasswortHaben Sie sich jemals gefragt, wie Websites Ihr Passwort vor Datenverletzungen schützen? Weiterlesen ist es doch immer noch von einigen Websites übersehen Die 7 häufigsten Taktiken zum Hacken von PasswörternWas fällt Ihnen ein, wenn Sie "Sicherheitsverletzung" hören? Ein bösartiger Hacker? Ein Kind im Keller? Die Realität ist, dass nur ein Passwort benötigt wird und Hacker 7 Möglichkeiten haben, Ihr Passwort zu erhalten. Weiterlesen .
Bcrypt gilt als sichere Methode zum Hashing als Die Hashes sind auch "gesalzen". Wie schützen Websites Ihre Passwörter?Da regelmäßig Online-Sicherheitsverletzungen gemeldet werden, sind Sie zweifellos besorgt darüber, wie Websites Ihr Passwort pflegen. In der Tat ist dies etwas, das jeder wissen muss, um beruhigt zu sein… Weiterlesen Ein Prozess, bei dem jeder Hash anders ist, auch wenn er dasselbe Kennwort schützt.
Passwörter sind irritierend, aber leicht zu ändern. Der Mädchenname einer Mutter ist es nicht. Hacker verstießen auch gegen Klartext-Sicherheitsfragen. Sicherheitsfragen werden seit langem geprüft So erstellen Sie eine Sicherheitsfrage, die sonst niemand erraten kannIn den letzten Wochen habe ich viel darüber geschrieben, wie man Online-Konten wiederherstellbar macht. Eine typische Sicherheitsoption ist das Einrichten einer Sicherheitsfrage. Dies bietet möglicherweise eine schnelle und einfache Möglichkeit, ... Weiterlesen Aufgrund ihrer Rolle bei der Identifizierung von Benutzerkonten bei früheren Verstößen bilden sie dennoch ein Hauptmerkmal der meisten Anmeldesysteme für Benutzerkonten.
Dementsprechend hat Yahoo allen Nutzern eine Nachricht zum Zurücksetzen des Passworts gesendet. Sie ermutigen ihre Benutzer:
- Ändern Sie Ihr Passwort und Ihre Sicherheitsfragen und -antworten für alle anderen Konten, für die Sie dieselben oder ähnliche Anmeldeinformationen verwenden wie für Ihr Yahoo-Konto.
- Überprüfen Sie Ihre Konten auf verdächtige Aktivitäten.
- Seien Sie vorsichtig bei unerwünschten Mitteilungen, in denen Sie nach Ihren persönlichen Daten gefragt werden, oder verweisen Sie auf eine Webseite, auf der Sie nach persönlichen Informationen gefragt werden.
- Vermeiden Sie es, auf Links zu klicken oder Anhänge aus verdächtigen E-Mails herunterzuladen.
Wir können den ersten Vorschlag nicht genug betonen. Wir empfehlen unseren Lesern außerdem, andere Websites zu berücksichtigen, bei denen sie möglicherweise ihre Anmeldeinformationen verwendet haben, z. B. den Fotospeicherdienst Flickr oder die Social-Bookmarking-Website Del.icio.us.
Möglicherweise haben Sie ein Yahoo-Konto erstellt, ohne zu bemerken, dass es unsicher ist.
Eine große alte Verletzung
Yahoo jetzt nimmt eine unerwünschte Krone Was Sie über den massiven Verlust von LinkedIn-Konten wissen müssenEin Hacker verkauft 117 Millionen gehackte LinkedIn-Anmeldeinformationen im Dark Web für rund 2.200 US-Dollar in Bitcoin. Kevin Shabazi, CEO und Gründer von LogMeOnce, hilft uns zu verstehen, was gefährdet ist. Weiterlesen : der größte Verstoß gegen Unternehmensdaten in der Geschichte.
- Yahoo - 500 Millionen Benutzeranmeldeinformationen
- MySpace - 359 m
- LinkedIn - 164m
- Adobe - 152 m
- Badoo - 112 m
Im Juli 2016 erwarb der US-amerikanische Telekommunikationsgigant Verizon das Internetgeschäft von Yahoo im Wert von 5 Mrd. USD. Es wird jedoch nicht erwartet, dass dieser Verstoß die Übernahme beeinflusst.
Verizon-Erklärung heute Nachmittag zum Sicherheitsvorfall bei Yahoo. $ VZpic.twitter.com/KQTnyrjlJy
- Bob Varettoni (@bvar) 22. September 2016
Unser Rat bleibt derselbe wie bei jeder größeren Datenverletzung. Setzen Sie Ihre Passwörter zurück. Überprüfen Sie auch Ihre E-Mails und Textnachrichten in den kommenden Wochen und Monaten. Erinnere dich an Verwenden Sie niemals Ihre Kontoanmeldeinformationen.
Wiederverwendung von Anmeldeinformationen; nicht ein einziges Mal.
Wurde Ihr Konto kompromittiert? Sind Sie überrascht, wie lange Yahoo gebraucht hat, um zu handeln? Welcher Hauptdienst wird als nächstes verletzt? Teilen Sie uns Ihre Gedanken unten mit!
Gavin ist Senior Writer bei MUO. Er ist außerdem Redakteur und SEO-Manager für MakeUseOfs kryptofokussierte Schwestersite Blocks Decoded. Er hat einen BA (Hons) für zeitgenössisches Schreiben mit Praktiken der digitalen Kunst, die aus den Hügeln von Devon geplündert wurden, sowie über ein Jahrzehnt Berufserfahrung im Schreiben. Er genießt reichlich Tee.
