MD5

Yahoo brukte utdatert krypto. Nå er en milliard brukere på nytt rammet

Svak beskyttelse av brukerkontoene har på nytt rammet Yahoo, noe som kan påvirke Verizons oppkjøp av selskapet. Bildet viser Yahoos hovedkvarter i Sunnyvale, California, i april i år.
Svak beskyttelse av brukerkontoene har på nytt rammet Yahoo, noe som kan påvirke Verizons oppkjøp av selskapet. Bildet viser Yahoos hovedkvarter i Sunnyvale, California, i april i år. Bilde: Reuters/Noah Berger/File Photo
Harald BrombachHarald BrombachNyhetsleder
15. des. 2016 - 10:43

Yahoo advarte i går brukerne om «en uautorisert tredjepart» trolig har stjålet enorme mengder brukerdata fra selskapet. Det dreier seg om informasjon om mer enn en milliard brukere. 

Avhengig av hva brukerne har oppgitt, dreier det seg om hver brukers navn, epostadresse, telefonnummer, fødselsdato og hashede passord. I tillegg kan krypterte eller ikke-krypterte sikkerhetsspørsmål og -svar være inkludert i noen tilfeller. 

Tre år siden

Nå er det ikke slik at dette innbruddet har skjedd nylig. Yahoo og etterforskerne som selskapet samarbeider med, mener at datainnbruddet skjedde i august 2013. Dette er altså tidligere enn det store datainnbruddet som Yahoo fortalte om i september i år. Dette ble utført i 2014 og rammet en halv milliard brukerkontoer. 

Så lang tid etterpå innebærer kanskje ikke avsløringen av innbruddet så mye nytt. Eventuell utnyttelse av informasjonen kan ha skjedd for lenge siden, og etter avsløringen av 2014-innbruddet bør de fleste Yahoo-brukere uansett ha byttet passord både hos Yahoo og andre steder de benytter det samme passordet. 

Det som likevel gjør innbruddet verre enn 2014-innbruddet, er at alle passordene i 2013-innbruddet var hashet med den høyst utdaterte sjekksum-algoritmen MD5. De fleste av passordene som ble stjålet i 2014, var hashes med bcrypt, som regnes blant de aller beste hash-algoritmene i dag.

Les også: Yahoo mener de har forklaringen på hackerangrepet i 2014

MD5

– Hash-algoritmen MD5 har i to tiår ikke bare blitt regnet som usikker, men knekt, sier Ty Miller, direktør for sikkerhetsselskapet Threat Intelligence, til The Register.

Han legger til at det ble funnet kollisjonssårbarheter i MD5 i 1996, og at praktiske angrepsmetoder ble utviklet i 2005. At et selskap med tilgang til all mulig IT-kompetanse, fortsatt bruker MD5 i 2013, er skuffende, men ikke overraskende. 

Selv mange av verdens mest kjente sikkerhetsselskaper brukte MD5 i alle fall i 2014 – riktignok ikke for å beskytte passord, men som sjekksum for skadevare-eksemplarer.

– Jeg anser det som forsømmelig av en virksomhet som Yahoo, som er forpliktet til å beskytte persondataene til over en milliard brukere, å bruke en slik utdatert og ineffektiv kontrollmekanisme til å beskytte passordene til selskapets brukere, sier Miller.

Les også: Fortsatt brukes superenkle passord av utrolig mange

Salt

Sikkerhetseksperten Jeffrey Goldberg hos AgileBits, som er mest kjent for passordverktøyet 1Password, understreker at det viktigste, uansett hvilken hash-algoritme som brukes, er at passordet er saltet.

– Det finnes absolutt ingen unnskyldning til å bruke ikke-saltede hasher, sier han til The Register. Det er foreløpig uklart om Yahoo-passordene var saltet. 

Når man legger til et salt, som er en vilkårlig tekststreng med en viss lengde, til et passord før det hashes, vil det gjøre det langt vanskeligere å finne selve passordet, selv om angriperen har en regnbuetabell med forhåndskalkulerte hasher. 

Berøres oppkjøpet?

Det at Yahoo nok en gang har måttet gå ut og fortelle om et svært alvorlig sikkerhetsbrudd, kan også få andre konsekvenser enn at mange brukere bør tenke seg om hvordan de benytter passord. 

– Kunngjøring av et massivt innbrudd tre år etter at det skjedde, er svært alvorlig og forhåpentligvis noe Yahoo har tenkt nøye gjennom. Siden vi ikke har noe klare detaljer om hva som faktisk skjedde, er det vanskelig å komme med noen konklusjoner om hvem eller hva som er opphavet til innbruddet, sier Ilia Kolochenko, CEO hos websikkerhetsselskapet High-Tech Bridge, i en uttalelse. 

– Derimot er jeg temmelig sikker på at denne nyheten kan få negativ påvirkning på avtalen med Verizon, sier Kolochenko. Som kjent planlegger Verizon å kjøpe Yahoo, men mengden av skjeletter som har ramlet ut av skapet til Yahoo denne høsten kan gi teleselskapet kalde føtter.

– En slik avsløring, tatt i betraktning den uklare og til og med mistenkelige tidslinjen for avsløringen – rett før selve oppkjøpet gjøres, kan gi Yahoos aksjonærer en gyldig grunn til å saksøke selskapets toppledelse dersom avtalen strander eller blir mindre innbringende enn ventet, sier Kolochenko.

– Jeg tror ikke innbruddet vil ha påvirke Yahoos kunder på noen ny måte nå, med mindre noen offentliggjør databasen som har blitt stjålet og åpner for gjenbruk av passord og hemmelige spørsmål og svar. Angriperne som brøt seg inn hos Yahoo må allerede ha utnyttet de kompromitterte dataene til sine egne formål. Dersom de ikke har gjort det allerede, etter avsløringen i september, vil bør alle Yahoo-kunder vurdere å endre passordene sine, inkludert på alle andre tjenester hvor de er registrert med bruke Yahoo-epostadressen. Det kan også være fornuftig å bytte til en mer pålitelig eposttilbyder, som Gmail, avslutter Kolochenko.

Marissa Mayer: Så mye får hun når Verizon blar opp milliardbeløp for Yahoo

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.