Yahoo podobno potwierdza ogromne naruszenie danych

Po doniesieniach, że Yahoo potwierdzi naruszenie danych, które dotyczy setek milionów kont, niektórzy użytkownicy zgłosili czwartek na Twitterze i innych miejscach, że zostali poproszeni o zmianę hasła e-mail podczas próby zalogowania się.

Yahoo wszczął dochodzenie w sprawie możliwego naruszenia na początku sierpnia po tym, jak ktoś zaproponował sprzedaż zrzutu danych ponad 200 milionów kont Yahoo na rynku podziemnym, w tym nazw użytkowników, łatwych do złamania skrótów haseł, dat urodzenia i zapasowych adresów e-mail.

Od tego czasu firma ustaliła, że ​​naruszenie jest realne, a nawet gorsze niż początkowo sądzono, poinformowała w czwartek strona informacyjna Recode, powołując się na nieznane źródła znane z dochodzenia.

Podczas gdy Yahoo jeszcze nie ogłosiło i nie odpowiedział od razu na prośbę o komentarz, firma poprosiła niektórych użytkowników o zresetowanie hasła w ciągu ostatnich 24 godzin z powodu „podejrzanej aktywności” na ich kontach.

Monit o zresetowanie hasła nie może być bezpośrednio powiązany ze zgłoszonym naruszeniem danych. Ale potwierdzenie naruszenia teraz, ponad półtora miesiąca po wystawieniu danych na sprzedaż, prawdopodobnie zadaje pytania, dlaczego firma czekała tak długo, zanim zmusi użytkowników do zmiany haseł.

WIĘCEJ O ŚWIECIE SIECI: 6 prostych sztuczek do ochrony haseł

„Jeśli naprawdę byłby wtedy dostępny, a Yahoo dopiero teraz to potwierdza, byłbym naprawdę zainteresowany, dlaczego opóźnienie było tak długie”, powiedział Troy Hunt, badacz bezpieczeństwa, który prowadzi witrynę z powiadomieniami o naruszeniu danych Czy zostałem zawstydzony??.

Użytkownik, który reklamował dane konta Yahoo w podziemnej witrynie internetowej, korzysta z uchwytu online peace_of_mind i jest znanym sprzedawcą skradzionych informacji. Wcześniej wystawiał na sprzedaż miliony rekordów kont z MySpace, LinkedIn, Tumblr i innych stron internetowych i w większości przypadków naruszenia te zostały potwierdzone, mimo że faktycznie miały miejsce wiele lat wcześniej.

„Widzieliśmy LinkedIn, MySpace i tumblr [zrzuty danych] sprzed wielu lat, które dopiero teraz pojawiają się w sprzedaży, więc Yahoo może być z tym zgodny” - powiedział Hunt za pośrednictwem poczty elektronicznej.

Biorąc pod uwagę historię Peace, badacz powiedział, że nie byłby zaskoczony, że dane zostały wystawione na sprzedaż w zeszłym miesiącu, gdyby okazały się autentyczne, nawet jeśli niektórzy kwestionowali, czy Peace rzeczywiście posiadał informacje w tym czasie.

Dziwne, że jak dotąd nikomu nie udało się uzyskać kopii zestawu danych i nie potwierdził jego autentyczności, przynajmniej nie publicznie, zwłaszcza że Peace z czasem obniża swoją cenę. Hunt uważa, że ​​jeśli zrzut danych będzie zgodny z tym samym, co inne, wkrótce pojawi się w domenie publicznej i będzie mógł go dodać do Czy zostałem zawstydzony?.

Potwierdzenie naruszenia danych w tym tygodniu miało nastąpić, gdy finalizowana jest sprzedaż Yahoo 4,8 miliardów USD na rzecz głównej działalności internetowej Verizon; umowa musi jeszcze zostać zatwierdzona przez organy regulacyjne.

Dołącz do społeczności Network World na Facebooku i LinkedIn, aby komentować najważniejsze tematy.