Yahoo zou naar verluidt een enorme datalek bevestigen

Naar aanleiding van berichten dat Yahoo een datalek zal bevestigen dat honderden miljoenen accounts treft, meldden sommige gebruikers donderdag op Twitter en elders dat hen werd gevraagd hun e-mailwachtwoord te wijzigen wanneer ze probeerden in te loggen.

Yahoo startte begin augustus een onderzoek naar een mogelijke inbreuk nadat iemand had aangeboden een datadump van meer dan 200 miljoen Yahoo-accounts op een ondergrondse markt te verkopen, inclusief gebruikersnamen, gemakkelijk te kraken wachtwoordhashes, geboortedata en back-up-e-mailadressen.

Het bedrijf heeft sindsdien vastgesteld dat de inbreuk echt is en dat het nog erger is dan aanvankelijk werd aangenomen, meldde nieuwswebsite Recode donderdag, onder vermelding van niet nader genoemde bronnen die bekend zijn met het onderzoek.

Hoewel Yahoo nog geen aankondiging heeft gedaan en niet onmiddellijk heeft gereageerd op een verzoek om commentaar, heeft het bedrijf enkele gebruikers ertoe aangezet hun wachtwoorden in de afgelopen 24 uur opnieuw in te stellen vanwege "verdachte activiteit" op hun accounts.

De prompt om wachtwoorden opnieuw in te stellen is mogelijk niet direct gekoppeld aan het gemelde datalek. Maar een bevestiging van de inbreuk nu, meer dan anderhalve maand nadat de gegevens te koop zijn aangeboden, zal waarschijnlijk vragen oproepen waarom het bedrijf zo lang heeft gewacht voordat gebruikers gedwongen werden hun wachtwoord te wijzigen.

MEER OVER NETWORK WORLD: 6 eenvoudige trucs om uw wachtwoorden te beschermen

"Als het toen echt beschikbaar was en Yahoo het nu pas bevestigt, zou ik echt geïnteresseerd zijn in waarom de vertraging zo lang was", zegt Troy Hunt, een beveiligingsonderzoeker die de website voor het melden van datalekken beheert Ben ik gepand?.

De gebruiker die de Yahoo-accountgegevens op een ondergrondse website heeft geadverteerd, gebruikt de online handle peace_of_mind en is een bekende verkoper van gestolen informatie. Hij heeft eerder miljoenen accountrecords van MySpace, LinkedIn, Tumblr en andere websites te koop aangeboden en voor het grootste deel zijn die inbreuken bevestigd, ook al waren ze jaren eerder daadwerkelijk voorgekomen.

"We zagen LinkedIn, MySpace en tumblr [datadumps] allemaal al vele jaren oud, maar verschijnen nu gewoon te koop, dus Yahoo kan daarmee in overeenstemming zijn," zei Hunt via e-mail.

Gezien het trackrecord van Peace zei de onderzoeker dat het hem niet zou hebben verbaasd dat de gegevens vorige maand te koop werden aangeboden als ze authentiek bleken, hoewel sommige mensen zich afvroegen of Peace de informatie op dat moment wel had.

Het is vreemd dat niemand tot nu toe een kopie van de dataset heeft weten te bemachtigen en de authenticiteit ervan heeft bevestigd, althans niet publiekelijk, vooral omdat bekend is dat Peace zijn prijs in de loop van de tijd verlaagt. Hunt is van mening dat als deze gegevensdump hetzelfde patroon volgt als andere recente, deze binnenkort in het publieke domein zal verschijnen en hij zal kunnen toevoegen aan Ben ik gepand.

Een bevestiging van het datalek deze week zou komen als de verkoop van Yahoo van US $ 4,8 miljard aan de belangrijkste internetactiviteiten aan Verizon wordt afgerond; de deal moet nog worden goedgekeurd door toezichthouders.

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.