Legalább félmilliárd (!) Yahoo-felhasználó adataihoz jutottak hozzá illetéktelenek, jelentette be a világ egyik legnépszerűbb webes portálját üzemeltető vállalat. Minderre azonban nem most, hanem még 2014-ben került sor. Nevek, e-mailcímek, telefonszámok, születési adatok és egyes esetekben biztonsági kérdések és válaszok egyaránt kiszivárogtak. Kódolt jelszavakhoz is hozzáfértek a támadók.

A jelenleg éppen eladósorban levő site-ok üzemeltetője közölte, hogy szorosan együttműködnek a hatóságokkal az eset kapcsán. Noha konkrétum nem hangzott el, a Yahoo szerint „államilag szponzorált hackerek” támadták meg rendszerét. Halottnak a csók, de a Yahoo arra figyelmeztette felhasználóit, hogy változtassák meg jelszavaikat, ha még nem tették meg 2014 óta. Bár, aki erre még nem kerített sort, és eddig nem éltek vissza a jelszavával, azt valószínűleg már semmilyen veszély nem fenyegeti.

A Yahoo szolgáltatásainak – pénzügy, online vásárlás, játék stb. – egymilliárd, legalább havi szinten aktív felhasználója van. Email-szolgáltatását havonta nagyjából 225 millió aktív internetező használja, tehát volt honnan adatokat lopni.

A Yahoo-t még az ág is húzza?
Több mint 453 ezer felhasználó jelszavát tették közzé a Yahoo Contributor Networkhöz köthető állományból egy sikeres hackertámadását követően korábban. A megszerzett adatok egy régebbi adatbázisból származnak, így az internetes cég közlése szerint a publikált jelszavak mindössze 5 százaléka volt jelenleg is használatban.

Legalábbis ami a Yahoo fiókokat illeti, ugyanis a támadás során más szolgáltatókhoz köthető adatok is kiszivárogtak. A hírek szerint Google Gmail, Microsoft Hotmail, AOL, Comcast és MSN fiókadatok is napvilágra kerültek.

Mit szól ehhez a Verizon?

A Yahoo-t éppen bekebelezni készülő vállalat meglehetősen szűkszavúan nyilatkozott a történtek kapcsán, ami nem is meglepő egy közel 5 milliárd dolláros üzlet esetében. Képviselőinek elmondása szerint csak az elmúlt két napban szereztek tudomást a történtekről. Éppen ezért jelenleg „korlátozott információval rendelkeznek és az események hatását vizsgálják”. Pénzügyi elemzők szerint egyébként a történtek nem fogják jelentősen befolyásolni a Yahoo Verizonnak való eladását.

Mark Warner virginiai szenátor, a nemrég létrehozott Senate Cybersecurity Caucus egyik tagja ugyanakkor keményen kritizálta a Yahoo-t azért, hogy a 2014-ben bekövetkezett támadásról csak két évvel később számolt be. „Az elmúlt években számos, a magánszektort érintő adatlopásnak lehettünk tanúi, ezek közül számos fogyasztók millióit érintette, a Yahoo támadás azonban ezek közül is a legfontosabb” – közölte Warner.

Ezt támasztja alá a Privacy Rights Clearinghouse nonprofit szervezet megállapítása is. A kiberbiztonsági incidenseket nyomon követő PRC szerint ez a hackelés volt eddig minden idők legnagyobb, nyilvánosságra került adatlopási eseménye.

Mit tett a Yahoo azóta?

Az amerikai vállalat több változtatást is eszközölt felhasználói védelmében. Például felhagyott a biztonsági kérdések és válaszok opció használatával, hiszen ezen információk megszerzésével gyakorlatilag ki lehetett kerülni a jelszavas védelem feltörését.

A legnagyobb problémát azonban a feltört jelszavak más oldalakon való felhasználása jelenti. Az emberek ugyanis jellemzően egy vagy csak néhány kódot tudnak (akarnak) megjegyezni, ezeket használják az összes internetes szolgáltatásban. Amennyiben sikerül ezt a jelszót, jelszavakat megszerezni, gyakorlatilag az adott felhasználó által kedvelt online szolgáltatások közül bárhova beléphet vele a támadó.

„Az ellopott azonosító adatokkal való bejelentkezés 0,1-2 százalékos sikerét látjuk. A kiberbűnözők az 500 millió megszerzett jelszó révén megpróbálják átvenni az ellenőrzést más website-okon létező felhasználói fiókok felett, ez tíz-százezres nagyságrendre tehető sikeres próbát jelenthet” – foglalta össze Shuman Ghosemajumder, a Google korábbi internetes visszaélésekkel foglalkozó szakembere, a Shape Security jelenlegi műszaki igazgatója.

Hogy mekkora veszélyt jelent ez, jól mutatja Mark Zuckerberg esete. A Facebook alapítójának Twitter accountját azért tudták meghackelni, mert hozzáfértek jelszavához, amit pedig a több mint 100 millió LinkedIn felhasználó ellopott adatából mazsoláztak ki.

Nemzetbiztonsági ügy a kibervédelemből
Kinevezték az Egyesült Államok első kormányzati információbiztonsági vezetőjét, hogy az USA szövetségi kormánya továbbra is megtarthassa vezető pozícióját a 21. századi kiberbiztonság területén. Gregory J. Touhill nyugalmazott dandártábornok kapta az orosz és kínai digitális szemek távoltartásának komoly kihívást jelentő feladatát.

A kiberbiztonsághoz való véleménye egyébként az, hogy a média által felkapott „kibergeddon események” egy kicsit túl vannak dramatizálva, tehát Obama elnök – látszólag, legalábbis – a józanság hangját ültette az USA legfontosabb kiberbiztonsági pozíciójába.

Néhány az idei esetek közül

Mindazonáltal aggodalomra ad okot a Yahoo-nál is felbukkanó gyakorlat, vagyis hogy nem az eset megtörténte után azonnal fordulnak felhasználóik felé, hanem csak évekkel később tájékoztatják őket. Idén több ilyen esetről is beszámoltunk. Közel 70 millió Dropbox-fiók adatait lopták el hacekerek – az incidens még 2012-ben történhetett, de mértékére csak most derült fény. Szerencsére a Dropbox biztonsági csapata nem talált olyan információt, amely arra utalt, hogy felhasználták volna az ellopott adatokat.

Rosszul tárolták a jelszavakat, hónapokig titkolták a betörést, végül nem megfelelően tájékoztatták felhasználóikat - a Last.fm szinte minden létező hibát elkövetett, írtuk pár hete. 2012. március 22-én 43.570.999 zenerajongó felhasználó adatait lopták el hackerek. Minden bejegyzés tartalmazott egy felhasználónevet, e-mailcímet, jelszót, csatlakozási dátumot és néhány egyéb, belső adatot; a szolgáltató mégis csak szeptember elején fordult a nyilvánossághoz.

És még csak nem is kell feltétlenül kiszivárognia a felhasználónév-jelszó párosoknak. Nemrég bebizonyosodott, hogy a Google nagyvállalati környezetre szánt, kimondottan drága megoldása miatt bizalmas adatok felmérhetetlen tömege szivárgott ki. A Google Drive-ban tárolt, elvben védett dokumentumok tízmilliói voltak kereshetők egyszerűen a Google keresőjével abszolút bárki számára, és nagyon úgy fest, hogy hosszú hónapokon keresztül.

Közöttük nem kis mennyiségben voltak olyan, kórházak által kezelt dokumentumok, amik a HIPAA (Health Insurance Portability and Accountability Act) hatálya alá esnek, azaz igencsak szigorú biztonsági követelményeknek megfelelően kellene tárolni, ilyen például a betegekre vonatkozó közvetlen adatok. Az eset kiválóan rámutatott arra, mekkora felelőtlenség a hülyeségig bízni a Google Drive-ban és az ahhoz kapcsolódó, megbízhatónak hitt szolgáltatásokban.