Yahoo angiveligt bekræfter massivt dataovertrædelse

Efter rapporter om, at Yahoo vil bekræfte en dataforbrud, der berører hundreder af millioner af konti, rapporterede nogle brugere torsdag på Twitter og andre steder, at de blev bedt om at ændre deres e-mail-adgangskode, når de forsøgte at logge ind.

Yahoo lancerede en undersøgelse af en mulig overtrædelse i begyndelsen af ​​august efter, at nogen tilbød at sælge et datadump på over 200 millioner Yahoo-konti på et underjordisk marked, herunder brugernavne, let-at-knække adgangskode hash, fødselsdato og backup e-mail-adresser.

Virksomheden har siden bestemt, at overtrædelsen er reel, og at det er endnu værre end oprindeligt antaget, rapporterede nyhedswebstedet Recode torsdag med henvisning til navngivne kilder, der er bekendt med efterforskningen.

Mens Yahoo endnu ikke har afgivet en meddelelse og ikke umiddelbart svarede på en anmodning om kommentar, har virksomheden bedt nogle brugere om at nulstille deres adgangskoder inden for de sidste 24 timer på grund af "mistænkelig aktivitet" på deres konti.

Anmodningen om at nulstille adgangskoder er muligvis ikke direkte knyttet til den rapporterede dataovertrædelse. Men en bekræftelse af overtrædelsen nu, mere end halvanden måned efter, at dataene blev solgt til salg, vil sandsynligvis give spørgsmål om, hvorfor virksomheden ventede så længe på, før de tvang brugerne til at ændre deres adgangskoder.

MERE PÅ NETWORK WORLD: 6 enkle tricks til at beskytte dine adgangskoder

"Hvis det virkelig var tilgængeligt, og Yahoo kun bekræfter det nu, ville jeg virkelig være interesseret i, hvorfor forsinkelsen var så lang," sagde Troy Hunt, en sikkerhedsforsker, der driver webstedet om anmeldelse af dataovertrædelse Er jeg blevet pwned?.

Brugeren, der annoncerede Yahoo-kontodataene på et underjordisk websted, bruger det online håndtag Peace_of_mind og er en velkendt sælger af stjålet information. Han har tidligere solgt millioner af kontoposter fra MySpace, LinkedIn, Tumblr og andre websteder, og for det meste er disse overtrædelser blevet bekræftet, selvom de faktisk havde fundet sted tidligere.

"Vi så LinkedIn, MySpace og tumblr [data dumps] alle går tilbage i mange år, men dukker bare op til salg nu, så Yahoo kan være i overensstemmelse med det," sagde Hunt via e-mail.

I betragtning af Peace's track record, sagde forskeren, at han ikke ville have været overrasket over, at dataene blev udbudt til salg i sidste måned, hvis det viste sig at være autentisk, selvom nogle mennesker spørgsmålstegn ved, om Fred faktisk havde oplysningerne på det tidspunkt.

Det er underligt, at ingen har formået at hente en kopi af datasættet indtil videre og bekræftede dets ægthed, i det mindste ikke offentligt, især da Fred vides at sænke sin pris over tid. Hunt mener, at hvis denne data dump følger det samme mønster som andre nyere, vil det snart dukke op i det offentlige rum, og han vil kunne tilføje det til Er jeg blevet pwned.

En bekræftelse af dataovertrædelsen i denne uge ville komme, når Yahoos salg på $ 4,8 mia. US $ af sine centrale internetoperationer til Verizon er ved at blive afsluttet; aftalen er endnu ikke godkendt af tilsynsmyndighederne.

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.