A múlt hét közepén olyan hírek láttak napvilágot az interneten, amelyek arról szóltak, hogy nagy mennyiségű bizalmas adat került ki egyes weboldalakra. Az első vizsgálatok azt mutatták, hogy az e-mail címek és a jelszavak nagy valószínűséggel a Yahoo! rendszeréből származnak. Azóta a Yahoo! meg is erősítette, hogy a szóban forgó bizalmas adatok valóban az IT-infrastruktúrájából kerültek ki.
A hírek szerint a biztonsági incidens mögött egy D33Ds Company nevű hackercsoport állt, amely vélhetőleg egy SQL injection alapú támadás során fért hozzá egy olyan állományhoz, ami több mint 453 ezer e-mail címet valamint jelszót tartalmazott. Noha a Yahoo! viszonylag hamar elismerte a biztonsági incidenst, azt tovább vizsgálta, és megállapította, hogy a hackerek nem egy aktuális adatbázishoz fértek hozzá, hanem egy régebbi biztonsági mentéshez. Arra azonban a mai napig nem született magyarázat, hogy miként történhetett meg az, hogy egy sima szöveges fájlba mindenféle titkosítás nélkül rengeteg jelszó kapott helyet.
„Megerősítjük, hogy a Yahoo! Contributor Network (korábban Associated Content) kapcsán létezett egy olyan régi fájl, amely körülbelül 450 ezer felhasználónevet és jelszót tartalmazott. Ez a fájl július 11-én kompromittálódott. A kiszivárgott adatok kevesebb mint 5 százaléka érvényes a Yahoo! fiókok esetében” – mondta a Yahoo! szóvivője.
A Yahoo! hangsúlyozta, hogy az eset azon felhasználókat érinti, akik korábban regisztráltak a Yahoo! Contributor Network (vagy előző nevén Associated Content) szolgáltatásba. A problémát azonban fokozza, hogy az adatfájlban nem kizárólag Yahoo!-s e-mail címek szerepeltek, hanem egyéb szolgáltatóknál lévő postafiókokhoz tartozó címek is. A Rapid7 elemzése szerint ezek megoszlása a következő:
Látható, hogy például sok Gmail és Hotmail elérhetőség is kiszivárgott. Emellett 123 kormányzati valamint 235 katonai e-mail cím is az adattolvajok kezébe került.
A Yahoo! gondoskodott arról, hogy a Yahoo!-s e-maillel rendelkező felhasználóinak jelszóváltoztatása megtörténjen, azonban a többi szolgáltató esetében ilyen lépést nem tud tenni. Ezért a biztonsági szakértők azt javasolják, hogy az incidensben érintettek mindenképpen változtassák meg a postafiókjaikhoz tartozó jelszót, és minden olyan szolgáltatás, alkalmazás kapcsán módosítsák a hitelesítési adataikat, amelyeknél az illetéktelen kezekbe került jelszavakat használják.
Kritikák kereszttűzében a Yahoo!
A Yahoo!-t a biztonsági szakértők részéről sok kritika érte, persze nem alaptalanul. Szinte mindenki amiatt a komoly biztonsági hiányosság miatt emelte fel a szavát, amely a jelszavak hanyag kezelésére vezethető vissza. Rob Rachwald, az Imperva biztonsági igazgatója például azt mondta, hogy „Az incidens veszélyességét fokozta a jelszavak titkosítatlanul, hash-elés nélkül történő tárolása. Azt gondolhattuk volna, hogy a LinkedIn esete ösztönzőleg fog hatni a védelem megerősítésére, de nem így történt. Ehelyett sokkal inkább a hackereket ösztönözte az incidens”.
Továbbra is sok a gyenge jelszó
Az ESET időközben alaposabban is szemügyre vette a kiszivárgott jelszavakat, amelyekből különféle statisztikákat készített. Ezek közül az a TOP 10-es lista a legérdekesebb és legtanulságosabb, amely azt mutatja, hogy a felhasználók mely jelszavakat választották leggyakrabban a fiókjuk védelméhez. A toplista a következőképpen fest:
1. 123456
2. password
3. welcome
4. ninja
5. abc123
6. 123456789
7. 12345678
8. sunshine
9. princess
10. qwerty
A Yahoo! minden érintett felhasználótól elnézést kért, és jelezte, hogy meghozta a szükséges biztonsági intézkedéseket annak érdekében, hogy a jövőben hasonló eset ne fordulhasson elő.
