Yahoo! Nous avons perdu vos données! Il y a deux ans…
Web géant Yahoo a subi une énorme violation de données. La violation, qui a eu lieu en 2014, a donné lieu à des informations de 500 millions d`utilisateurs de Yahoo étant mis en vente sur le web sombre.
Contenu
L`ampleur du vol rapetisse autres récents, les principales violations de données, et place les pratiques de sécurité en place avec Yahoo fermement sous les projecteurs.
Qu`est-ce que a été enfreinte?
Yahoo a publié une déclaration confirmant et détaillant la violation de la sécurité, ce qui rend une affirmation selon laquelle les données ont été volées par les pirates « de l`État parrainé ». Informations, y compris les noms, adresses e-mail, numéros de téléphone et les questions de sécurité ont été volés de la société en 2014.
« Une enquête récente de Yahoo a confirmé qu`une copie de certaines informations de compte utilisateur a été volé de notre réseau à la fin de 2014 par ce que nous croyons est un acteur parrainé par l`État. Nous travaillons en étroite collaboration avec les autorités d`application de la loi et informer les utilisateurs susceptibles d`être touchés de façons dont ils peuvent sécuriser davantage leurs comptes. »
Un petit positif arrive en sachant que la violation ne contenait pas « des mots de passe non protégés, des données de cartes de paiement, ou des informations de compte bancaire. » Néanmoins, les déclarations faites par Yahoo soulèvera d`autres questions de chercheurs en sécurité concernant la chronologie des événements, ainsi que les actions de l`entreprise dans les jours qui ont suivi la violation.
Soulevant des questions importantes
Bien vissée sur la liste des nombreux chercheurs en sécurité de questions sera tout simplement «pourquoi at-il fallu si longtemps pour confirmer un hack de cette ampleur? » Ce segues facilement dans les questions des autres, aussi bien. Pourquoi est-ce Yahoo si longtemps pour informer ses utilisateurs de la violation?Pourquoi les entreprises Garder un secret pourrait Violations être une bonne chosePourquoi les entreprises Garder un secret pourrait Violations être une bonne choseAvec autant d`informations en ligne, nous inquiétons tous de failles de sécurité potentielles. Mais ces violations pourraient être gardées secrètes aux Etats-Unis afin de vous protéger. Cela semble fou, donc ce qui se passe?Lire la suite
La notion d`une attaque parrainée par l`État est également déconcertant. Encore, Yahoo n`a pas produit de preuve liant la violation à un acteur État-nation, bien que trois responsables du renseignement américains - qui ont refusé d`être identifié par son nom - a confirmé à Reuters:
« ... ils croyaient que l`attaque a été parrainée par l`État en raison de sa ressemblance avec hacks précédents tracés aux agences de renseignement russes ou les pirates agissent sous leur direction. »
Même si la violation alésage ressemblance avec les attaques des Etats-nations précédentes, ces violations ne donnent généralement pas dans la diffusion des données privées de l`utilisateur. Est encore plus rare de trouver les lettres de créance annoncés en vente sur le web sombre.Quand les gouvernements attaque: Nation-State Malware ExposedQuand les gouvernements attaque: Nation-State Malware ExposedUne cyberguerre se déroule en ce moment, caché par l`Internet, ses résultats rarement observés. Mais qui sont les acteurs de ce théâtre de guerre, et quelles sont leurs armes?Lire la suite
Ajout de l`intrigue est encore l`identité de la partie de la vente individuelle de la violation de données. Un utilisateur nommé « Peace of Mind », qui avait également vendu des décharges de données des violations MySpace et LinkedIn, a été vantant activement les données.
Jeremiah Grossman, responsable de la stratégie de sécurité à SentinelOne, a déclaré: « Même si nous savons que l`information a été volée à la fin de 2014, nous n`avons aucune indication quant au moment où Yahoo a appris au sujet de cette violation. Ceci est un détail important dans l`histoire « .
Grossman croit que la paix d`esprit était un « hacker profiteur » ils seraient très peu probable d`avoir reçu l`état sponsorship- par conséquent, « cela signifie qu`il est possible que nous nous penchons sur deux violations Yahoo différentes avec deux groupes de hacking différents dans leur système. »
« Le grand nombre de personnes touchées par cette cyber-attaque est stupéfiant et démontre que la gravité des conséquences d`un hack de sécurité peut être ... Nous ne savons pas encore tous les détails de la façon dont ce hack est arrivé, mais il y a un message qui fait réfléchir et important ici pour les entreprises qui gèrent et acquièrent des données personnelles. doit être solidement protégé sous clé des informations personnelles - et que la clé doit être impossible pour les pirates de trouver. » - Commissaire à l`information Royaume-Uni Elizabeth Denham
Video: Injustice 2 - All Character Endings (Multilanguage Subtitles)
Quelle est la gravité ça?
La déclaration de Yahoo a confirmé que la grande majorité des mots de passe volés ont été haché en utilisant bcrypt. Le hachage est le processus de transformer un mot de passe à une longueur fixe « empreinte digitale » qui est rappelé et vérifiée lorsqu`un utilisateur tente de se connecter. Il est une méthode de base de protection de l`information d`utilisateur, mais est toujours négligé par certains sites Web.Chaque site Web sécurisé fait avec votre mot de passeChaque site Web sécurisé fait avec votre mot de passeAvez-vous déjà demandé comment les sites Web garder votre mot de passe à l`abri des violations de données?Lire la suite
Bcrypt est considérée comme une méthode sûre de Hashage les hash sont aussi « salage » un processus où chaque hachage sera différent, même si elle protège le même mot de passe.
Les mots de passe sont irritants, mais facile à Change- est pas le nom de jeune fille d`une mère. Les pirates informatiques contrevenait aussi des questions de sécurité en texte clair. Les questions de sécurité ont longtemps fait l`examen pour leur rôle dans l`identification des comptes d`utilisateurs dans les violations antérieures, mais ils forment encore une caractéristique principale de la plupart des systèmes de connexion du compte utilisateur.Comment faire pour créer une question de sécurité que personne d`autre peut devinerComment faire pour créer une question de sécurité que personne d`autre peut devinerAu cours des dernières semaines, je l`ai écrit beaucoup de choses sur la façon de rendre des comptes en ligne recouvrable. Une option de sécurité typique est mise en place d`une question de sécurité. Bien que cela offre potentiellement un moyen rapide et facile à ...Lire la suite
Par conséquent, Yahoo ont envoyé tous leurs utilisateurs un message de réinitialisation de mot de passe. Ils encouragent leurs utilisateurs à:
- Modifiez vos questions et réponses mot de passe et de sécurité pour tous les autres comptes sur lesquels vous utilisez les informations d`identification identiques ou similaires à ceux utilisés pour votre compte Yahoo.
- Passez en revue vos comptes pour toute activité suspecte.
- Méfiez-vous des tout communications non sollicitées qui demandent vos renseignements personnels ou vous référer à une page Web demandant des informations personnelles.
- Éviter de cliquer sur des liens ou télécharger les pièces jointes des e-mails suspects.
Nous ne pouvons pas mettre l`accent sur la première suggestion assez. Nous conseillons également nos lecteurs à considérer d`autres sites qu`ils ont utilisé leurs identifiants de connexion avec, comme le service photo-stockage Flickr, ou d`un site de bookmarking social Del.icio.us.
Vous avez créé un compte Yahoo sans se rendre compte qu`il était peu sûr.
Video: What is the Evidence for Evolution?
Une violation Big Old
Yahoo maintenant prend une couronne non désirée: La plus grande violation de données d`entreprise dans l`histoire.Ce que vous devez savoir sur Massive comptes LinkedIn fuiteCe que vous devez savoir sur Massive comptes LinkedIn fuiteUn pirate se vend 117 millions piraté références LinkedIn sur le Web noir pour environ 2 200 $ en Bitcoin. Kevin Shabazi, PDG et fondateur de LogMeOnce, nous aide à comprendre tout ce qui est en danger.Lire la suite
- Yahoo - 500 millions d`informations d`identification utilisateur
- MySpace - 359m
- LinkedIn - 164m
- Adobe - 152m
- Badoo - 112m
En Juillet 2016, le géant des télécommunications américain Verizon fait l`acquisition de 5 milliards $ de l`activité Internet de Yahoo. Bien que, cette violation ne devrait pas influer sur la prise de contrôle.
Notre conseil reste la même que toute violation majeure de données. Réinitialiser vos mots de passe. En outre, examiner vos e-mails et des messages texte au cours des semaines et mois à venir. Se souvenir de ne jamais réutiliser vos informations d`identification de compte.
reuse- Credential pas même une fois.
Votre compte est compromise? Etes-vous surpris de voir combien de temps il a fallu Yahoo pour agir? Quel service majeur sera violé prochain? Faites-nous savoir vos pensées ci-dessous!