Yahoo waarschuwt gebruikers voor accountinbreuken in verband met recente aanvallen

Yahoo waarschuwt individuele gebruikers dat hun accounts bij de service mogelijk zijn gehackt door een groot datalek dat eind vorig jaar werd gemeld.

De waarschuwing in e-mailberichten die zijn verzonden door Yahoo CISO Bob Lord, vertellen gebruikers dat een vervalste cookie mogelijk is gebruikt om toegang te krijgen tot hun accounts in voorgaande jaren.

De waarschuwing voor Yahoo-gebruikers komt op hetzelfde moment dat nieuwsberichten suggereren dat Verizon Communications bij onderhandelingen om Yahoo te kopen mogelijk een korting van 250 miljoen dollar zoekt vanwege de datalekken.

In december meldde Yahoo dat gegevens met betrekking tot meer dan 1 miljard gebruikersaccounts in augustus 2013 waren gestolen. Minder dan drie maanden eerder meldde het bedrijf een afzonderlijk gegevenslek dat meer dan 500 miljoen gebruikers trof en die zich eind 2014 voordeed..

In een nieuwe waarschuwing voor gebruikers die woensdag werd gestuurd, zei Yahoo dat het vervalste cookie-probleem hackers in staat stelde zonder wachtwoorden toegang te krijgen tot gebruikersaccounts. Het bedrijf bracht het probleem in verband met de inbreuk die het in september meldde.

"Op basis van het lopende onderzoek denken we dat er in 2015 of 2016 mogelijk een vervalste cookie is gebruikt om toegang te krijgen tot uw account", zegt de nieuwe e-mail van Yahoo. "We hebben een deel van de cookie-smeedactiviteit gekoppeld aan dezelfde door de staat gesponsorde acteur waarvan wordt aangenomen dat hij verantwoordelijk is voor de gegevensdiefstal die we op 22 september 2016 hebben bekendgemaakt."

Yahoo heeft de door de staat gesponsorde acteur niet geïdentificeerd. De nieuwe e-mail is verzonden naar gebruikers van wie de accounts zijn geschonden in wat blijkbaar een algemene aanval was. Individuele gebruikers die specifiek het doelwit lijken te zijn van de door de staat gesponsorde acteur, kregen een aanvullende kennisgeving.

Yahoo raadde gebruikers aan hun accounts te controleren op verdachte activiteiten, voorzichtig te zijn met ongevraagde communicatie die om persoonlijke informatie vraagt, en te vermijden op links te klikken of bijlagen van verdachte e-mailberichten te downloaden. Het bedrijf vroeg gebruikers om te overwegen de Yahoo Account Key te gebruiken, een authenticatietool die de noodzaak van een wachtwoord overbodig maakt.

"We hebben de vervalste cookies ongeldig gemaakt en onze systemen gehard om ze te beschermen tegen soortgelijke aanvallen", zei Yahoo in de nieuwe e-mail. "We verbeteren voortdurend onze beveiligingen en systemen die ongeautoriseerde toegang tot gebruikersaccounts detecteren en voorkomen."

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.