Yahoo-hackers hebben toegang gekregen tot 32 miljoen accounts met vervalste cookies

Marissa Mayer, president en chief executive officer van Yahoo! Inc., houdt een keynote speech tijdens een persconferentie op de 2014 Consumer Electronics Show (CES) in Las Vegas, Nevada, VS, op dinsdag 7 januari 2014. Mayer besprak de volgende fase van innovatie, Yahoo's reeks acquisities en grote structurele veranderingen terwijl ze werkt om het bedrijf te veranderen.Bloomberg via Getty Images

In een regelgevende aanvraag heeft Yahoo enkele aanvullende details onthuld over datalekken die meer dan een miljard accounts hebben getroffen. Een van die informatie is het nieuws dat hackers die de code van Yahoo hadden verkregen en in staat waren om hun eigen cookies te maken, in 2015 en 2016 toegang hadden tot 32 miljoen accounts. Bovendien zegt de 10-K-verklaring die aan de SEC is verstrekt dat Yahoo 26 personen en overlegd met wetshandhavers nadat het zich realiseerde dat door de staat gesponsorde hackers zijn accountbeheertool hadden misbruikt om toegang te krijgen.

Yahoo heeft in december publiekelijk de omvang van deze inbreuken bekendgemaakt, maar geeft in het rapport toe dat in 2014 'het erop lijkt dat bepaalde senior executives de volledige omvang van de kennis die intern bekend is bij de ondernemingsraad niet goed begrepen of onderzocht hebben, en daarom niet adequaat hebben gehandeld. informatiebeveiligingsteam.'



Als resultaat van het onderzoek heeft de raad van bestuur besloten dat CEO Marissa Mayer geen contante bonus zal ontvangen die ze voor 2016 zou ontvangen, terwijl algemeen adviseur Ronald S. Bell ontslag nam. Als gevolg van de onthullingen dat accountinformatie was gestolen, waarvan Mayer zegt dat ze in september vorig jaar op de hoogte was, heeft Verizon $ 350 miljoen verlaagd van zijn bod om Yahoo over te nemen.

http://marissamayr.tumblr.com/post/157876672644/update-on-yahoos-security-incident

Beveiligingsincidenten

Beschrijving van evenementen

Op 22 september 2016 hebben we bekendgemaakt dat eind 2014 een kopie van bepaalde gebruikersaccountgegevens voor ongeveer 500 miljoen gebruikersaccounts is gestolen van het netwerk van Yahoo (het '2014 Beveiligingsincident'). Het bedrijf is van mening dat de gebruikersaccountgegevens zijn gestolen door een door de staat gesponsorde actor. De gebruikersaccountgegevens die werden gebruikt, omvatten namen, e-mailadressen, telefoonnummers, geboortedata, gehashte wachtwoorden (de overgrote meerderheid met het 'bcrypt'-hashalgoritme) en, in sommige gevallen, versleutelde of niet-versleutelde beveiligingsvragen en antwoorden. Ons forensisch onderzoek geeft aan dat de gestolen informatie geen onbeschermde wachtwoorden, betaalkaartgegevens of bankrekeninggegevens bevatte. Betaalkaartgegevens en bankrekeninggegevens worden niet opgeslagen in het systeem dat volgens het onderzoek aangetast is. We hebben geen bewijs dat de door de staat gesponsorde actor momenteel in of toegang heeft tot het netwerk van het bedrijf.

Op 14 december 2016 hebben we bekendgemaakt dat we, op basis van de analyse door onze externe forensische expert van gegevensbestanden die in november 2016 door wetshandhavers aan het bedrijf zijn verstrekt, van mening zijn dat een niet-geautoriseerde derde partij gegevens heeft gestolen die zijn gekoppeld aan meer dan een miljard gebruikersaccounts in augustus 2013 (het 'Beveiligingsincident 2013'). We hebben de inbraak in verband met deze diefstal niet kunnen identificeren en we denken dat dit incident waarschijnlijk verschilt van het beveiligingsincident van 2014. Voor mogelijk getroffen accounts omvatte de gestolen gebruikersaccountinformatie namen, e-mailadressen, telefoonnummers, geboortedata, gehashte wachtwoorden (met behulp van het MD5-algoritme) en, in sommige gevallen, versleutelde of niet-versleutelde beveiligingsvragen en antwoorden. De gestolen informatie bevatte geen wachtwoorden in leesbare tekst, betaalkaartgegevens of bankrekeninggegevens.

In november en december 2016 maakten we bekend dat onze externe forensische experts onderzoek deden naar het maken van vervalste cookies waarmee een indringer zonder wachtwoord toegang zou kunnen krijgen tot de accounts van gebruikers. Op basis van het onderzoek denken we dat een onbevoegde derde partij toegang heeft gekregen tot de bedrijfseigen code van het bedrijf om te leren hoe bepaalde cookies kunnen worden vervalst. De externe forensische experts hebben ongeveer 32 miljoen gebruikersaccounts geïdentificeerd waarvan zij denken dat er in 2015 en 2016 vervalste cookies zijn gebruikt of ingenomen (de 'Cookie Forging Activity'). We zijn van mening dat een deel van deze activiteit verband houdt met dezelfde door de staat gesponsorde actor die verantwoordelijk wordt geacht voor het beveiligingsincident van 2014. De vervalste cookies zijn ongeldig gemaakt door het bedrijf, zodat ze niet kunnen worden gebruikt om toegang te krijgen tot gebruikersaccounts.

Het Beveiligingsincident van 2013, het Beveiligingsincident van 2014 en de Cookievervalsingsactiviteit worden hierin gezamenlijk de 'Beveiligingsincidenten' genoemd. Met betrekking tot elk van de beveiligingsincidenten zijn de getroffen gebruikers en de relevante regelgevende en wetshandhavingsinstanties op de hoogte gebracht.

Het bedrijf heeft, met de hulp van externe forensische experts, haar onderzoek naar de beveiligingsincidenten afgerond. Het bedrijf blijft in deze zaken samenwerken met de Amerikaanse wetshandhavingsinstanties.

Onderzoek door onafhankelijke commissie

Zoals eerder bekendgemaakt, heeft een onafhankelijke commissie (de 'Onafhankelijke Commissie') van de Raad van Bestuur (de 'Raad') de Beveiligingsincidenten en aanverwante zaken onderzocht, inclusief de reikwijdte van de kennis binnen het Bedrijf in 2014 van toegang tot Yahoo's netwerk door de door de staat gesponsorde actor die verantwoordelijk is voor de diefstal en gerelateerde incidenten, de interne en externe rapportageprocessen van het bedrijf en de herstelinspanningen met betrekking tot het beveiligingsincident van 2014 en gerelateerde incidenten. De onafhankelijke commissie heeft haar onderzoek afgerond, maar zal de ontwikkelingen met betrekking tot de beveiligingsincidenten blijven beoordelen, hierover rapporteren aan de raad en samenwerken met verschillende overheidsinstanties. De onafhankelijke commissie werd bijgestaan ​​door de onafhankelijke raadsman Sidley Austin LLP en een forensisch deskundige. De Raad is afzonderlijk geadviseerd door andere externe adviseurs met betrekking tot de beveiligingsincidenten en aanbevelingen met betrekking tot corrigerende maatregelen.

Op basis van haar onderzoek heeft de onafhankelijke commissie geconcludeerd dat het informatiebeveiligingsteam van het bedrijf op hetzelfde moment kennis had van de compromittering van gebruikersaccounts in 2014, evenals van incidenten door dezelfde aanvaller met het vervalsen van cookies in 2015 en 2016. Eind 2014 zeiden senior executives en relevante juridische medewerkers wisten dat een door de staat gesponsorde actor toegang had gekregen tot bepaalde gebruikersaccounts door gebruik te maken van de accountbeheertool van het bedrijf. Het bedrijf heeft bepaalde corrigerende maatregelen genomen, 26 specifiek gerichte gebruikers op de hoogte gebracht en overleg gepleegd met wetshandhavers. Hoewel er als reactie op deze incidenten belangrijke aanvullende beveiligingsmaatregelen zijn genomen, lijkt het erop dat bepaalde senior executives de volledige kennis die intern bekend is bij het informatiebeveiligingsteam van het bedrijf niet goed begrepen of onderzocht hebben, en daarom niet voldoende hebben gehandeld. In het bijzonder begreep het informatiebeveiligingsteam vanaf december 2014 dat de aanvaller kopieën had geëxfiltreerd van back-upbestanden van gebruikersdatabases die de persoonlijke gegevens van Yahoo-gebruikers bevatten, maar het is onduidelijk of en in hoeverre dergelijk bewijs van exfiltratie effectief werd gecommuniceerd en begrepen buiten de informatiebeveiligingsteam. De onafhankelijke commissie heeft echter niet geconcludeerd dat er sprake was van een opzettelijke verzwijging van relevante informatie.

Desalniettemin constateerde de commissie dat het relevante juridische team over voldoende informatie beschikte om in 2014 substantieel verder onderzoek te rechtvaardigen, en zij hebben dit niet voldoende nagestreefd. Als gevolg hiervan is het Beveiligingsincident van 2014 destijds niet naar behoren onderzocht en geanalyseerd en werd het Bedrijf niet adequaat geadviseerd met betrekking tot de juridische en zakelijke risico's die verband houden met het Beveiligingsincident van 2014. De onafhankelijke commissie constateerde dat tekortkomingen in communicatie, beheer, onderzoek en interne rapportage hebben bijgedragen aan het gebrek aan goed begrip en behandeling van het beveiligingsincident van 2014. De onafhankelijke commissie constateerde ook dat de audit- en financiële commissie en de volledige raad van bestuur niet adequaat waren geïnformeerd over de volledige ernst, risico's en mogelijke gevolgen van het beveiligingsincident van 2014 en aanverwante zaken.

*Verizon heeft AOL, het moederbedrijf van Engadget, overgenomen. Engadget behoudt echter de volledige redactionele controle en Verizon zal het uit onze koude, dode handen moeten wrikken.

Aanbevolen verhalen

Sony heeft bijna 1 miljoen PlayStation VR-headsets verkocht

Het is waarschijnlijk de meest populaire VR-hardware tot nu toe.

Schakelen tussen de volledige en basisversie van Yahoo Mail

Yahoo Mail is er in twee versies: volledig uitgerust en eenvoudig. De volledige versie is een nieuwere versie en wordt natuurlijk aanbevolen door Yahoo. Als u echter de voorkeur geeft aan een meer gestroomlijnde, eenvoudige versie van e-mail, kunt u Yahoo's Basic Mail gebruiken.

Rapport: Beveiligingsfout laat hackers snuffelen op 76 iPhone-apps

Alleen het verzenden van gevoelige gegevens via een mobiele verbinding zou uw risico moeten verminderen, aldus een beveiligingsexpert.

Hoe kan Windows 10 functioneren met slechts 32 GB schijfruimte?

Alle besturingssystemen hebben een bepaalde hoeveelheid schijfruimte nodig om goed te kunnen werken en functioneren, dus hoe kunnen 'economy-model'-laptops goed werken met de kleine schijven die erin zijn ingebouwd? De SuperUser Q&A-post van vandaag heeft het antwoord op de vraag van een nieuwsgierige lezer.