200 millió Yahoo! postafiók ellopva

2016. augusztus 03. 19:42 - Csizmazia Darab István [Rambo]

Szinte már meg sem lepődünk a napi betevő feltörési híreken, igaz nehéz is követni, éppen mikor melyiket veszik célba a bűnözők. Nemrégiben az a Peace nevű elkövető hallatott ismét magáról, aki korábban feltört LinkedIn accountokat is árusított a dark weben. Ezúttal állítása szerint 200 millió Yahoo! postafiók belépési adata "hullott az ölébe", amit a napokban áruba is bocsátott.

A Yahoo! üzemeltetői egyelőre még időt kértek, hogy hivatalosan megerősítsék az adatsértés tényét, illetve vizsgálják a kiszivárgott jelszavak valódiságát, és naprakészségét is, magyarán meg kell állapítaniuk, hogy valamilyen korábbi - például 2012-es régebbi - vagy valóban pillanatnyilag is aktuális adatokról van-e szó.

A BBC értesülése szerint Peace 3 Bitcoint (hozzávetőlegesen 478 ezer forint) kér az adatokért letöltési példányonként, amiben felhasználónevek, jelszavak és születési adatok is szerepelnek. A Wired magazin interjút is készített az orosz elkövetővel, aki szerint mindez jó móka és remek pénzkereset, hiszen a spamterjesztők örömmel fizetnek ezekért.

A nagy számú állítólagosan kompromittált Yahoo! fiók miatt a felhasználók jól teszik, ha elővigyázatosságból haladéktalanul jelszót változtatnak. Illetve akik esetleg több helyen is ugyanazt a jelszót használták, azoknak most extra feladatként ezzel is lesz teendőjük: mindenhol legyen új erős és egyedi a bejelentkezésük.

Emellett igen hasznos, ha minden lehetséges helyszínen - Google, Facebook, PayPal, Snapchat, AppleID, Twitter,  LinkedIn, stb. - élünk a kétfaktoros hitelesítési lehetőséggel. Ahol ez nem alapértelmezett, ott nekünk kell kiválasztani, de mindenféleképpen érdemes, mert ezzel tényleg nagyfokú biztonság érhető el a bejelentkezéseknél.

Emlékezetes, hogy a csúfos LinkedIn incidensnél szimpla SHA-1 algoritmussal dolgoztak, és teljességgel hiányzott a Salted hash. Végül pedig csak jó két esztendővel később, 2014-ben valósultak meg az olyan biztonságnövelő intézkedések, mint például a bejelentkezéssel kapcsolatos kontroll, ahol arra is lett lehetőségünk, hogy az elfelejtett kilépés vagy gyanús aktivitás miatti bejelentkezéseket távolról megszakítsuk és őket azonnal kiléptessük.

2014-től megszületett végre a két faktoros autentikáció lehetősége is a LinkedIn alatt, sőt a jelszóváltoztatásról külön e-mailes emlékeztető értesítést lehet már kérni, ki mikor, milyen böngésző, milyen operációs rendszer alól, milyen IP címről és földrajzilag nagyjából honnan kezdeményezte mindezt.

1 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr928933240

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Hóhér az utolsó barátod · http://internetszemete.blog.hu 2016.08.03. 20:47:03

Yahoo már megint... korábban a reklámjaikban volt kéretlen ajándékként némi malware is...