500 miljoner Yahoo-konton stulna
Yahoo meddelade precis att företaget har blivit av med uppgifter om 500 miljoner konton. Bland dessa uppgifter återfinnes bl.a. bcrypt-hashade lösenord (till största delen) samt telefonnummer och födelsedata. Och även i vissa fall krypterade och icke krypterade frågor och svar för lösenordsåterställning.
Det som kanske är mest spektakulärt är att intrånget skedde i slutet av 2014 och att Yahoo hävdar att det är statsunderstött.
Yahoo meddelar även att de just nu håller på att informera samtliga som är drabbade av detta omfattande läckage men många frågor är fortfarande obesvarade såsom:
- Har Yahoo känt till detta intrång sedan 2014 eller upptäcktes det först nu?
- Hur kan de hävda att en statsunderstödd angripare ligger bakom?
Och hur säkert är bcrypt som användes på majoriteten av lösenorden? Det beror helt på vilka inställningar Yahoo använde för sin ”work factor”, om de använde 12 som inställning så tar det runt 0,5 sek att testa ett lösenord. Men troligtvis använde Yahoo 10 som work-factor som var standard för några år sedan och då kan angriparen testa att forcera minst 10 lösenord i sekunden. Vilket förvisso är otroligt bra jämfört med exempelvis osaltad MD5.
Läs mer hos Yahoo här.