un blog de Radu Dumitru

asus s5507

►► Black Friday la: Fashion Days, Finestore, PC Garage, evoMAG, Altex, Flanco ◄◄

asus s5507

Yahoo – how is this still a thing?

16 Dec 2016  ·

TEHNOLOGIE  ·

20 comentarii

Septembrie 2016 – Yahoo admite că în 2014 hackerii au furat informații despre mai mult de 500 de milioane de conturi. Yahoo a mers cumva pe burtă cu întreaga treabă, neprecizând de ce abia acum și-au dat seama despre o breșă enormă de securitate ce-a avut loc cu doi ani în urmă. Eu mi-am schimbat atunci parola din proprie inițiativă, nu pentru că mi-ar fi cerut Yahoo să fac asta, anunțul lor oficial venind ceva mai târziu.

Decembrie 2016 – Yahoo anunță că în 2013 hackerii au furat datele pentru un miliard de conturi, inclusiv numele, data nașterii, parolele, informațiile de securitate pentru recuperarea parolelor și alte date. (New York Times)

Ce-o fi acolo, o ușa deschisă prin care poate intra oricine, bagă stickul în server și copiază toată baza de date? Așa pare. Yahoo a dat anterior vina pe un “state-sponsored actor”, acuzând probabil chinezii sau rușii.

A recent investigation by Yahoo has confirmed that a copy of certain user account information was stolen from our systems in late 2014 by what we believe is a state-sponsored actor. We are closely coordinating with law enforcement on this matter and working diligently to protect you.

Citatul este dintr-un email primit pe 24 septembrie. Eu schimbasem parola pe 22 septembrie, după ce deja știrile despre hăcuială aveau câteva zile vechime. Acum, după anunțul din decembrie, încă nu a venit nimic nou.

Ca probabil mulți dintre voi, am utilizat Yahoo ani de zile pentru email și mai ales pentru Yahoo Messenger, care a fost un stil de viață într-o perioadă când Facebook sau smartphone-urile nu existau în câmpul nostru vizual. Am trecut de la Yahoo Mail la Gmail cu mare bucurie, diferența de user experience, rapiditate și funcții fiind atunci evidentă. În timp, am abandonat și YM pentru altele.

Din păcate, probabil ca mulți dintre voi, am rămas cu acel cont Yahoo “atârnat”. Emailul de acolo este recovery-ul pentru Gmail. O mulțime de servicii la care sunt abonat probabil că au trimis emailuri și către Yahoo, deci hackerii ar putea vedea și acele conturi și ar putea încerca dacă parola furată de ei de la Yahoo se potrivește și acolo.

Mă gândesc să-l șterg de tot. N-am nici o treabă cu Yahoo, nu-l mai folosesc, nu-l mai vreau. Dacă păstrați Yahoo, schimbați-vă parola, eventual întrebarea de securitate și răspunsul ei (dacă mai aveți așa ceva), plus metodele de recovery. Pagina necesară cred că-i aceasta. Activați two-step verification, dacă vi se pare că e cazul. Dacă vreți să ștergeți contul de Yahoo, instrucțiunile sunt aici, dar atenție că se vor șterge și toate fotografiile din Flickr. Nu-i bai, oricum Google Photos e mai bun.

Intrați și voi prin Gmail și asigurați-vă că procedura de recuperare a parolei pentru contul Google nu include în ecuație Yahoo, ci mai degrabă vreun alt email sau un număr de telefon. Dacă țineți mult la contul Google și depind multe alte servicii de el, activați și acolo two-step verification, cu trimitere pe telefon a unui cod de fiecare dată când faceți login. Pentru Google, pagina de cont este la adresa myaccount.google.com

asus s5507

    20 comentarii

  1. Stiu ca nu e cazul in situatia asta si mai ales din partea ta, dar nu era asta una dintre primele sfaturi legate de securitatea cibernetica?

    Anume sa nu dai click pe link-uri care te indruma spre modificarea setarilor de securitate, altele decat prin accesare directa aka direct typing in bara?
    Phishing 101.

      (Citează)

    • Dacă dai click pe un link nu ai ce să pățești. Dacă descarci chestii dubioase din pagina în care ajungi sau bagi parole și conturi acolo, e de rău.

      Dacă o pagină este sau nu reală se poate verifica prin URL, certificat șamd.

        (Citează)

    • Nici nu trebuie sa dai click. Se executa acțiuni și prin mouse over object …
      Plus ca te poți trezi cu Surfing injectat fără sa îți dai seama.
      Crypto ransomware cum acționează?

        (Citează)

    • Descarci filme cu extensia .exe?

        (Citează)

    • Dă o căutare “Trolii desene colorat”.
      Concluzii în privat.

        (Citează)

  2. da frate cand am vazut anuntul recent nici nu m-am mai deranjat sa schimb parola: daca datele au fost furate in 2013 nu prea mai are rost, merg pe ideea ca tot ce se putea intampla s-a intamplat deja; iar sa le dau si telefonul pentru 2-step verification nu am de gand, la ce grija au ei de datele mele personale.

    yahoo mai are useri din cauza de legacy si pentru ca te gandesti ca poate mai vine acolo vreun mail de la cine stie cine care are mailul tau de acum multi ani (din CV de exemplu). evident, e mai mult de lene.

    de curand am inceput sa-mi schimb si eu mailurile de contact de la toate serviciile care ma intereseaza si dupa aia o sa-l sterg.

      (Citează)

  3. Am intrat și eu acum pe cont (nu prea-l mai folosesc de mult). Îl țin pentru că am un domeniu cumpărat de la ei pentru un mail personal. 
    Faza este că au dat un mail de notificare din care am extras:

    “The stolen user account information may have included names, email addresses, telephone numbers, dates of birth, hashed passwords (using MD5) and, in some cases, encrypted or unencrypted security questions and answers.”

    Și nu înteleg o chestie: de ce naiba să le criptezi cu MD5 când oricum e cam degeaba, iar pentru aia care au furat datele e ca și cum ar fi plain text.

      (Citează)

  4. Lor le-au furat datele si nu s-au prins cum. Nici acum nu stiu.
    Cand am deschis aseara linkul mi-a aparut un mesaj de la ei ca e posibil ca contul meu sa fie compromis.
    Nu e vorba de dat click si furat parola. e vorba de faptul ca au trecut prin sistemul yahoo si au luat parolele si elementele de identificare. Yahoo mi-a sugerat sa schimb parola si la conturile asociate si sa verific de unde sunt logat, etc.
    Acum insa mi se pare degeaba toata chestia asta pentru ca nu au spart parole, au intrat la ei si au luat tot.

      (Citează)

  5. E cam greu și mult de lucru să mut toate conturile ce le-am creat cu yahoo in gmail. Sunt sute, dacă nu chiar mii. Oricum în momentul în care te loghezi de pe un ip nou, iti trimite o notificare push pe mobil ca sa confirmi ca tu te loghezi.

    La urma urmei, avem nevoie și de o adresă de mail pe care să se ducă spam-ul, nu?

      (Citează)

  6. “deci hackerii ar putea vedea și acele conturi și ar putea încerca dacă parola furată de ei de la Yahoo se potrivește și acolo.”

    Parola era stocata HASH. Chiar daca era hash MD5, daca aveai o parola mai lunga e greu de spart.

      (Citează)

  7. eu sunt unul din nefericitii cu cont de yahoo de vreo 14 ani. platit de vreo 10 ani desi sincer am si uitat de ce il platesc.
    nu am facut pasajul catre gmail din 2 motive:
    – timp enorm sa migrez/ fac back-up la tone de mailuri. plus ca in outlook daca le downloadez pe toate nu imi vede folderele…
    – nu am chef sa pun toti sacii in aceeasi caruta, adica Google. de aia parca m-as indrepta catre un mail pe un server care sa imi apartina, de vazut.

      (Citează)

  8. eu folosesc ca mail principal Yahoo din cauza ca aia a fost prima mea adresa de mail si sunt un dinozaur. imi pare rau sa vad cum yahoo se scufunda incet si ca au distrus clientul de messenger de desktop, care era neschimbat si perfect din anii 2000 si l`au inlocuit cu un program nou care nu poate fi folosit, practic l`au omorat cu intentie. nici nu l`au inchis, dar l`au facut asa greu de folosit incat renunti pentru ca oricum esti numai tu si inca 2 persoane pe planeta care mai folosesc programul ala.

      (Citează)

  9. Intre timp, hackerii au vandut baza de date cu 300.000 $

      (Citează)

  10. nwradu: Dacă dai click pe un link nu ai ce să pățești. Dacă descarci chestii dubioase din pagina în care ajungi sau bagi parole și conturi acolo, e de rău.

    Dacă dai click pe un link atunci descarci automat ceva. De exemplu, descarci imagini, sunete, font-uri, pdf-uri, json etc.

    Fișierele alea pot fi „fabricate” în așa fel încât să exploateze bug-uri din browser sau biblioteci folosite de browser.

    Câteva exemple găsite într-un minut:

    https://www.mozilla.org/en-US/security/advisories/mfsa2012-07/
    http://www.cvedetails.com/cve/CVE-2014-3188/
    http://www.cvedetails.com/cve/CVE-2012-2897/

    E mai sănătos să nu dai click.

      (Citează)

  11. Okochea:
    “deci hackerii ar putea vedea și acele conturi și ar putea încerca dacă parola furată de ei de la Yahoo se potrivește și acolo.”

    Parola era stocata HASH. Chiar daca era hash MD5, daca aveai o parola mai lunga e greu de spart.

    Parolele MD5 (mai ales cele fără salt) sunt în practică aproape la fel de sigure ca parolele plain-text. Țin minte că am văzut la un moment dat un clip care demonstra un brute-force de 40 de miliarde (!!) de încercări pe secundă. Nu era chiar un calculator de duzină, dar totuși. Să nu uităm nici că hash-urile au fost exfiltrate cu ani în urmă. MD5 pur și simplu nu e făcut pentru așa ceva. E făcut să fie rapid. Pentru așa ceva se folosesc algoritmi gen bcrypt care sunt lenți intenționat și care folosesc salt implicit.

    Sigur, poate 2% din parole nu le vor putea sparge, dar aia nu înseamnă nimic.

      (Citează)

  12. Din ce am vazut pe Reddit, e o ideea proasta sa-ti stergi contul de la Yahoo. Nu doar ca paguba a fost facuta si parola probabil e deja facuta posta prin Rusia, dar Yahoo recicleaza conturi.

    Daca tu stergi adresa de e-mail gherghe.asaftei@yahoo.com, peste un numar de luni poate sa vina un alt Gheorghe Asaftei care sa creeze un e-mail fix cu numele ala. Urmand, bineinteles, sa primeasca si ce ai fi primit tu de la diverse entitati unde nu ti-ai schimbat adresa.

      (Citează)

    Alătură-te discuției, lasă un mesaj

    E-mail-ul nu va fi publicat. Fără înjurături și cuvinte grele, că vorbim prietenește aici. Gândiți-vă de două ori înainte de a publica. Nu o luați pe arătură doar pentru că aveți un monitor în față și nu o persoană reală.

    Apăsați pe Citează pentru a cita întreg comentariul cuiva sau selectați întâi anumite cuvinte și apăsați apoi pe Citează pentru a le prelua doar pe acelea. Link-urile către alte site-uri, dar care au legătură cu subiectul discuției, sunt ok.


    Prin trimiterea comentariului acceptați politica de confidențialitate a site-ului.



    Vreți un avatar în comentarii? Mergeți pe gravatar.com (un serviciu Wordpress) și asociați o imagine cu adresa de email cu care comentați.

    Dacă ați bifat să fiți anunțați prin email de noi comentarii sau posturi, veți primi inițial un email de confirmare. Dacă nu validați acolo alegerea, nu se va activa sistemul și după un timp nu veți mai primi nici alte emailuri

    Comentariile nu se pot edita ulterior, așa că verificați ce ați scris. Dacă vreți să mai adăugați ceva, lăsați un nou comentariu.

sus