W grudniu 2016 roku internauci zostali poinformowani[1] o jednym z największych incydentów w świecie bezpieczeństwa IT. Firma Yahoo, która świadczy różnego rodzaju usługi internetowe przyznała, że w sierpniu 2013, skompromitowany został miliard kont użytkowników. Mówiąc krótko – ich dane wyciekły. To co najbardziej zaniepokoiło wówczas ekspertów, to fakt, że wielka firma nie była w stanie przez tak długi czas dojść do tego, w jaki sposób informacje zostały wykradzione. O całej sprawie poinformowano dopiero w grudniu zeszłego roku, a więc ponad 3 lata po wycieku. Yahoo poinformowało, że na liście danych znajdowały się szczegółowe informacje o użytkowniku – imię i nazwisko, adres e-mail, nr telefonu, data urodzenia, hashe haseł a w niektórych przypadkach zaszyfrowane i niezaszyfrowane pytania bezpieczeństwa, których używa się np. do resetowania hasła.
Dzisiaj okazuje się, że ta liczba jest trzykrotnie większa i dotyka 3 miliardów[2] kont. Można założyć, że praktycznie każdy użytkownik, który w tamtym czasie korzystał z usług Yahoo i miał założone konto, został dotknięty przez atak. Co ciekawe, jeszcze przed ujawnieniem wycieku miliarda kont, we wrześniu 2016 roku Yahoo przyznało, że padło ofiarą innego ataku, w którym ucierpiało 500 milionów[3] kont użytkowników…
Do tej pory eksperci w branży bezpieczeństwa nie spotkali się z wyciekiem informacji na taką skalę. Jeżeli posiadaliście konto Yahoo, należy (o ile nie zrobiliście tego po ujawnieniu sprawy w grudniu 2016 roku) jak najszybciej zmienić hasło, pytania i odpowiedzi bezpieczeństwa, oraz włączyć dwuskładnikowe uwierzytelnianie jako dodatkową przeszkodę w przejęciu konta.
Warto zwrócić uwagę na fakt, że jeżeli atakujący pozyskają hasła z przejętych kont, mogą spróbować wykorzystać je do ataku na inne serwisy i usługi, gdyż wielu użytkowników stosuje wszędzie te same hasła i loginy. W ten sposób włamanie do jednego serwisu może poskutkować utratą kontroli nad innymi kontami. Dlatego właśnie zaleca się by każda usługa miała swoje jedno, unikalne hasło.
[1] https://thehackernews.com/2016/12/yahoo-data-breach-billion.html
[2] https://thehackernews.com/2017/10/yahoo-email-hacked.html
[3] https://www.cnet.com/how-to/find-out-if-your-yahoo-account-was-hacked/
