Yahoo skal angivelig bekrefte massivt datainnbrudd

Etter rapporter om at Yahoo vil bekrefte et datainnbrudd som berører hundrevis av millioner av kontoer, rapporterte noen brukere torsdag på Twitter og andre steder at de ble bedt om å endre sitt e-postpassord når de prøvde å logge inn.

Yahoo startet en undersøkelse av et mulig brudd i begynnelsen av august etter at noen tilbød seg å selge en datadump på over 200 millioner Yahoo-kontoer på et underjordisk marked, inkludert brukernavn, lett-å-sprekke passord-hasj, fødselsdato og e-postadresser til sikkerhetskopiering.

Selskapet har siden bestemt at bruddet er reelt og at det er enda verre enn først antatt, rapporterte nyhetsnettstedet Recode torsdag og siterer navngitte kilder kjent med etterforskningen.

Mens Yahoo ennå ikke har kunngjort en kunngjøring og ikke umiddelbart svarte på en forespørsel om kommentar, har selskapet bedt noen brukere om å tilbakestille passordene sine det siste døgnet på grunn av "mistenkelig aktivitet" på kontoene sine.

Be om å tilbakestille passord kan ikke henge direkte sammen med det rapporterte datainnbruddet. Men en bekreftelse på bruddet nå, mer enn halvannen måned etter at dataene ble lagt ut for salg, vil sannsynligvis gi spørsmål om hvorfor selskapet ventet så lenge før de tvang brukere til å endre passord.

MER PÅ NETTVERKSVERDEN: 6 enkle triks for å beskytte passordene dine

"Hvis det virkelig var tilgjengelig da og Yahoo bare bekrefter det nå, ville jeg virkelig være interessert i hvorfor forsinkelsen var så lang," sier Troy Hunt, en sikkerhetsforsker som driver nettstedet for varsling av datainnbrudd Har jeg blitt pwned?.

Brukeren som annonserte Yahoo-kontodataene på et underjordisk nettsted bruker det elektroniske håndtaket peace_of_mind og er en kjent selger av stjålet informasjon. Han har tidligere lagt ut for salg millioner av kontoposter fra MySpace, LinkedIn, Tumblr og andre nettsteder, og for det meste er disse bruddene bekreftet, selv om de faktisk hadde skjedd år tidligere.

"Vi så LinkedIn, MySpace og tumblr [data dumps] alle dateres tilbake i mange år, men dukker bare opp for salg nå, så Yahoo kan være i samsvar med det," sa Hunt via e-post.

Gitt Peace's merittliste, sa forskeren at han ikke ville ha blitt overrasket over at dataene ble lagt ut for salg forrige måned hvis det viste seg å være autentisk, selv om noen spurte om Fred faktisk hadde informasjonen på det tidspunktet.

Det er rart at ingen har klart å skaffe seg en kopi av datasettet så langt og bekreftet dets ekthet, i hvert fall ikke offentlig, spesielt siden Fred er kjent for å miste prisen over tid. Hunt mener at hvis denne datadumpen følger det samme mønsteret som andre nyere, vil det snart dukke opp i det offentlige domene og han vil kunne legge det til Har jeg blitt pwned.

En bekreftelse på datainnbruddet denne uken ville komme da Yahoos salg av $ 4,8 milliarder dollar i USAs kjernevirksomhet til Verizon er ferdigstilt; avtalen har ennå ikke blitt godkjent av regulatorer.

Bli med i Network World-samfunnene på Facebook og LinkedIn for å kommentere temaer som er uten oppmerksomhet.