Egymilliárd felhasználó adatait lopták el a Yahoo-tól – mutatjuk, ez hogy kerülhető el a jövőben

A forgatókönyv a számokat leszámítva gyakorlatilag ugyanaz, mint a legutóbbi esetnél: szeptemberben derült ki, hogy 500 millió felhasználói adatait lopták el még 2014-ben. Ha az a balhé csúnya volt, akkor ez egyenesen rémisztő. Ismét nevek, telefonszámok, jelszavak és email-címek kerültek ki, banki és fizetési adatokat most sem kell félteni.

Ráadásul a most kibukott eset egy évvel korábban, 2013-ban történt. A cég szerint nem valószínű, hogy a kettőnek köze van egymáshoz, de a három éve történt hackelésre a 2014-es eset kivizsgálása közben bukkantak rá.

A BBC-nek nyilatkozó kiberbiztonsági szakértő, Troy Hunt szerint:

Messze ez a legnagyobb adatszivárgás, amit valaha láthattunk. Már a pár hónappal ezelőtt felderített 500 milliós is az volt, és senki nem gondolta volna, hogy azután ilyen számot láthatunk.

Ismét azzal védekezett a tech óriás, hogy állami szereplő állhat a háttérben, de Peter Sommer internetes törvényszéki szakértő erre nem sok esélyt lát. „Mi a fenét kezdene egy állam egymilliárd átlagos felhasználó adataival?” – tette fel a költői kérdést. Legutóbb orosz szálakról mentek a találgatások, de a Yahoo ezúttal sem árulta el, hogy melyik országra gyanakszik.

Az eset önmagában nagy pofon a Yahoonak, de még nagyobb fejfájást okozhat nekik az, hogy elméletileg eladták a céget a Verizon telekommunikációs cégnek – egyébként pár nappal a legutóbbi adatrablós balhé előtt. Akkor ötmilliárd dolláros vételárról volt szó, de Hunt szerint az új hír hallatára már egymilliárddal lentebb értékelte a Yahoot a Verizon. A vevő azt közölte, hogy felülvizsgálják az esetet, mielőtt meghoznák a végső döntésüket.

A Yahoo ismét arra kérte a felhasználóit (havonta több mint egymilliárd ember használja a szolgáltatásaikat), hogy változtassák meg a jelszavukat. Bár tény, hogy sokan magukat hibáztathatják a pofonegyszerű, „123456” jellegű jelszavaikkal, a felhasználónév+jelszó párosnál sokkal biztonságosabb megoldásokat használhatnának a beléptető rendszerek.

UPDATE: a hatalmas adathalmazt mindössze 300 000 dollárért adták el három vevőnek a Láthatatlan weben, a hackercsoport pedig vélhetően kelet-európai kötődésű – nyilatkozta a New York Timesnak az InfoArmor kiberbiztonsági cég hírszerzési vezetője. Andrew Komarov szerint szerepeltek köztük 150 000 amerikai kormányzati és katonai alkalmazott adatai is, ami ha igaz, komoly nemzetbiztonsági kockázatot jelent az USÁ-nak. A Yahoo nem erősítette meg Komarov álításait.

Közben az is kiderült, hogy az ellopott adatok között voltak helyreállítási emailcímek is, így még azok a Yahoo-felhasználó sem érezhetik magukat teljes biztonságban, akik jelszót váltottak.

Mi jöhet a jelszavak helyett?

Nemrég a Fintechradar írt egy olyan startupról, akik garantáltan biztonságos megoldással rukkoltak elő a jelszavas beléptető rendszerek helyett.

A már 24 millió dolláros kockázati tőkét felszívó Auth0 ötlete az, hogy elszakítja egymástól az azonosítást és a felhasználó identitását belépéskor. Ma ez a kettő a legtöbb felületen megegyezik egymással, így egy jelszóval személyes adatok tömkelegét lophatják el hackerek.

Az Auth0 megoldása arra a logikára épül, mint amikor a Facebook vagy Google-azonosítónkkal lépünk be valahova. Abban tér el, hogy közte és ügyfelei között jobban meghatározott viszony van, és az ő fejlesztésüket használó oldalak nem kapnák meg a felhasználó adatait, csak annyit, hogy belépett-e a rendszerbe vagy sem. Az Auth0 sem dugná zsebre az adatokat, a biztonságos azonosítás feladatát kiszerveznék külső cégeknek – olvasható a Fintechradaron.

Már több felületen létezik a felhasználónév+jelszónál biztonságosabb, SMS-vagy e-mail-megerősítést használó beléptető rendszer. Ezekkel annyi a macera, hogy az oldalak nem szívesen használják, mert attól félnek, hogy sok felhasználónak nem lenne türelme ilyenekkel pepecselni – elég, ha arra gondolunk, hogy hányan hagyják bejelentkezve a Facebookjukat is azért, hogy ne kelljen mindig beírogatni a jelszót.

A startup rendszere a többlépcsős beléptetés mellett okostelefonok ujjlenyomat-olvasóját is tudja kezelni, így ha elég magas lesz az ilyen eszközök elterjedtsége (és nem fogy el a tőkéjük), talán ez lehet majd a legkényelmesebb megoldás.

Amit felhasználóként jelenleg tehetünk a biztonságunkért, az a bonyolult, összetett és minden felületen eltérő jelszó használata. Akármennyire is lusta hozzá valaki, ha az egyik accountját feltörik, legalább nyugodt lehet, hogy nem férnek hozzá egyszerre az összes többihez is.

(Nyitókép: Pixabay)