22 сентября 2016 года компания Yahoo признала, что персональные данные ее пользователей были похищены. Речь идет о краже данных не менее 500 миллионов аккаунтов.
Это произошло еще в 2014 году, но факт был признан компанией только сейчас. Yahoo! обнаружила этот взлом после того, как в августе получила информацию о другой атаке, которая оказалась ложной.
Объем похищенных данных превышает объемы, украденные с серверов других электронных компаний – таких как MySpace.
С серверов этой социальной сети в 2013 году были похищены данные 360 миллионов аккаунтов и 427 миллионов паролей. В мае этого года данные MySpace были выставлены на продажу в интернете.К хакерам попала в руки информация об электронной почте, номерах телефонов, датах рождения пользователей Yahoo. Однако все эти данные хранились в зашифрованном виде, поэтому злоумышленники должны были еще потратить время на их расшифровку.
В компании полагают, что взломщикам не удастся добраться до сведений о платежных картах и банковских счетах, поскольку они в системе не хранятся. Всем пользователям Yahoo! предлагает поменять пароли, если они не делали этого с 2014 года, но не настаивает на этом.
Известный криптолог Брюс Шнайер отметил, что пока не может оценить последствия взлома для пользователей Yahoo, но назвал кражу данных самой масштабной в истории.
В августе хакер по прозвищу Peace выставил на продажу базу с данными о 200 миллионах пользователях Yahoo со стоимостью $1,8 тысячи. Хакер утверждал, что к нему попали данные более чем со 100 миллинов страниц, пишет издание Motherboard.
Известно, что «Peace» – общий псевдоним людей, которые также занимались и продажей украденных данных MySpace и LinkedIn.Житель Нью-Йорка Рональд Шварц подал иск против Yahoo! в федеральный суд Сан Хосе (Калифорния) от имени всех пользователей США. Возможная компенсация, которую могут назначить в случае победы Шварца, пока не определена.
Истец предполагает, что Yahoo могла предотвратить нарушения, но воспринимала необходимость защиты данных недостаточно серьезно. Еще одна претензия касается выявления факта и расследования обстоятельств взлома. На это было потрачено в 3 раза больше времени, чем необходимо по правилам.
Yahoo продемонстрировала «пренебрежение к безопасности к персональным данным своих пользователей, которые обещала защищать», говорится в исковом заявлении. Судебные иски были поданы также в суды штатов Иллинойс и Сан-Диего.
Как отметил глава департамента интернет-компании, получить доступ к закрытыми данным смог хакер, чьи действия спонсировало «правительство государства». «Онлайн-вторжения и кражи при поддержке государства становятся все более распространенным явлением в техиндустрии», — сетуют в Yahoo.
По мнению руководства компании Yahoo, ко взлому системы в 2014 году были причастны хакеры из России, рассказал источник The Wall Street Journal, знакомый с ситуацией. Предполагается, их целью были около 30 аккаунтов конкретных людей, которые ведут бизнес в России.
Ранее компания не называла страну, из которой была организована атака. В то же время собеседник издания не уверен, что действия именно этих хакеров привели к утечке данных 500 миллионов пользователей.
У Yahoo! сейчас и так непростой период: в июле она согласилась продать интернет-подразделение оператору Verizon Communications за $4,83 миллиарда. По мнению аналитика SunTrust Robinson Humphrey Роберта Пека, скорее всего, информация о взломе не заставит Verizon отказаться от сделки, но покупатель может попросить скидку на $100 миллионов, или даже $200 миллионов. Размер скидки будет зависеть от того, сколько пользователей откажутся от услуг Yahoo.
Юрист K&L Gates Стивен Капони считает, что условия сделки и принятая практика позволяют покупателю отказаться от нее, если цена актива значительно снизится, но такие случаи довольно редки.
«Если изменения будут существенными, у Verizon будет возможность начать переговоры об изменении условий сделки или вовсе от нее отказаться. Оценить изменение ценности актива можно будет по тому, какая именно информация была украдена», — сказал он.
Представители Verizon заявили, что информацию об атаке они оценят в соответствии с собственными интересами.
На сайте delfi.lv опубликовано несколько советов пользователям украденных аккаунтов.
Измените пароли и секретные вопросы
Если вы все еще пользуетесь почтой Yahoo или закачали во Flickr фото, которые не хочется потерять — измените в них пароли и секретные вопросы. Сделать это можно буквально за пять минут.
Вспомните, не использовали ли вы эти пароли и вопросы где-то еще
Если злоумышленники взломают пароли (или уже взломали) Yahoo, то они обязательно «прогонят» в автоматическом режиме пары из логина-пароля через все остальные популярные сервисы — социальные сети, Gmail, и так далее.
По статистике около 2% людей постоянно используют одни и те же логины и пароли на разных сервисах, так что в данном случае хакеры могут поймать довольно крупную рыбу.
Включите двухфакторную идентификацию
С двухфакторной аутентификацией вы можете чувствовать себя спокойно даже в том случае, если у вас стоит пароль «12345» (мы, впрочем, все же рекомендуем пароль «12354» — просто чтобы потролить хакеров).
Двухфакторную идентификацию поддерживают почти все, кому не лень, включая Google, Facebook, Twitter и так далее. Найдите и включите ее везде, где только можно — и все эти гигантские утечки паролей перестанут вас волновать.
Комментарии (16)
akaluth
25.09.2016 19:45+11По статистике около 2% людей постоянно используют одни и те же логины и пароли на разных сервисах
Какое-то очень оптимистичное предположение
Semenar
26.09.2016 09:13Видимо, ещё около 90% людей используют два, максимум три пароля из-за того, что какому-то сайту их обычный пароль не понравился.
Или же это был опрос, и люди не захотели сознаваться.
APXEOLOG
25.09.2016 19:51А вот допустим, что все пароли хэширутся с кучей соли и прочими штуками. Что в таком случае смогуть «пробрутить» хакеры? Ведь если не известен алгоритм генерации хэша, ты не сможешь никак воспользоваться этой информацией
herrjemand
26.09.2016 02:05Методы обнаружения алгоритма хеширования:
- Длина строки. — Для MD5 это 128 бит, SHA-2 это 224, 256, 384 или 512, sha-3 224, 256, 384, 512
- Схемы хеширования — их буквально 10 — 15. От MD5 до PBKDF2
- MD5 — Его все еще используют к сожалению.
- Атака по словарю и радужные таблицы + брутфорс хеш схем
- Идентификатор хеш функции храниться с самим хешом. Очень удобно если в будущем нужно перейти на новую хеш функцию.
Смешать, но не взболтать.
APXEOLOG
26.09.2016 08:44Хорошо, но что если я использую скажем что-то в духе MD5(«salt» + password + MD5(password.substring(0, password.length / 2))?
Я в этой области не разбираюсь, но мне кажется что в таком случае будет довольно сложно что-то сделать, даже если удастся пробрутить парочку паролейherrjemand
26.09.2016 09:25Эта схема уязвима еще и атаке удлинением сообщения, не говоря о том что очень легко перебирается так как это MD5.
Все что вы описываете это Безопасность через неясность(Security through obscurity)
Безопасность через неясность (англ. Security through obscurity) — принцип, используемый для обеспечения безопасности в различных сферах деятельности человека. Основная идея заключается в том, чтобы скрыть внутреннее устройство системы или реализацию для обеспечения безопасности.
Это было нормальной практикой в криптографии прошлых веков, и она успешно провалилась(см Энигма, Машина Лоренца и т.д и т.п.).
Сегодня криптография строится на втором принципе Керкгоффса
При?нцип Керкго?ффса — правило разработки криптографических систем, согласно которому в засекреченном виде держится только определённый набор параметров алгоритма, называемый ключом, а сам алгоритм шифрования должен быть открытым. Другими словами, при оценке надёжности шифрования необходимо предполагать, что противник знает об используемой системе шифрования всё, кроме применяемых ключей.
Оригинальное описание
Нужно, чтобы не требовалось сохранение системы в тайне; попадание системы в руки врага не должно причинять неудобств;
Чтобы правильно хешировать пароли нужно:
- минимум 32 байт случайной соли(КСГПСЧ)
- хешировать с помощью PBKDF2(10000 раундов), bcrypt, scrypt или Argon2.
Ref:
https://www.owasp.org/index.php/Password_Storage_Cheat_Sheet
https://pages.nist.gov/800-63-3/sp800-63b.html
https://ru.wikipedia.org/wiki/%D0%91%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C_%D1%87%D0%B5%D1%80%D0%B5%D0%B7_%D0%BD%D0%B5%D1%8F%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C
https://ru.wikipedia.org/wiki/%D0%90%D1%82%D0%B0%D0%BA%D0%B0_%D1%83%D0%B4%D0%BB%D0%B8%D0%BD%D0%B5%D0%BD%D0%B8%D0%B5%D0%BC_%D1%81%D0%BE%D0%BE%D0%B1%D1%89%D0%B5%D0%BD%D0%B8%D1%8F
https://ru.wikipedia.org/wiki/%D0%9F%D1%80%D0%B8%D0%BD%D1%86%D0%B8%D0%BF_%D0%9A%D0%B5%D1%80%D0%BA%D0%B3%D0%BE%D1%84%D1%84%D1%81%D0%B0APXEOLOG
26.09.2016 09:52А если я скажу что в моей формуле salt и длина подстроки пароля являются параметрами алгоритма (ключем), он станет отвечать принципу Керкгоффса?
NINeOneone
26.09.2016 12:27Похоже станет, но до тех пока вы не надеетесь на нее как на защиту. Т.е. защита сильна настолько, насколько силен был бы просто пароль аналогичной длины и сложности.
variable
26.09.2016 02:45+2На сайте delfi.lv опубликовано несколько советов пользователям украденных аккаунтов.
Это какой-то авторитетный ресурс? Или просто трафик нужен?
ssh24
>С двухфакторной аутентификацией вы можете чувствовать себя спокойно
В случае, когда в системах двухфакторной аутентификации используются SMS-сообщения или телефонные звонки, то не все так уж совсем безусловно надежно.
Как некоторое время назад писали на хабре, в ОКС 7 есть уязвимости, вполне позволяющие увести трафик.
То есть вполне можно сделать так, что ваша СМС полетит не вам, а кому-то еще.
>мы, впрочем, все же рекомендуем пароль «12354» — просто чтобы потролить хакеров
То есть в случае двухфакторной аутентификации взломщику требуется:
1. знать логин
2. знать пароль
3. знать телефонный номер связанный с аккаунтом
4. уметь ловить смс по ОКС7 или знать у кого купить такой сервис.
Я так понял, что для перехвата СМС подключение к ОКС7 можно иметь хоть в Африке.
>мы, впрочем, все же рекомендуем пароль «12354» — просто чтобы потролить хакеров
Так что напрасно бравадятся
herrjemand
Двух факторная аутентификация спасет от китайских хакер-ботов, которые попытаются завладеть вашим аккаунтом при сливе базы.
SS7 7 уязвимость это уже целенаправленная атака. Если вас целенаправленно пытаются взломать, то боюсь у вас очень другие проблемы о которых вам надо думать, чем о уязвимостях GSM сетей .
rkfg
С СМС — это не двухфакторная аутентификация, а двухшаговая проверка (2-step verification), совсем другое и серьезных гарантий не дает.
herrjemand
Но это лучше чем ничего!*)
rkfg
Когда как. Даёт ложное чувство безопасности, не самая лучшая вещь. Но вообще я к тому, что эти понятия нельзя путать. Комментарий, который всё для меня лично прояснил: https://habrahabr.ru/company/mailru/blog/269337/#comment_8624955
herrjemand
Двух факторная аутентификация = Двух шаговая аутентификация, но
Двух шаговая аутентификация != Двух факторная аутентификация
Вот отличное обсуждение на эту тему https://security.stackexchange.com/a/41981
Что же касается безопасности, то лучше иметь 2SV(2 Step Verification) чем ничего. Это не 2FA, но как я уже и сказал раньше от китайских ботов спасает на ура.
Лучше хоть какая то защита чем полное отсутствие её.
muon
Двух факторная аутентификация ? Двух шаговая аутентификация
//математичкафикс