Yahoo предупреждает пользователей о хакерах, фальсифицирующих куки для доступа к аккаунтам
Yahoo предупреждает пользователей о хакерах, действующих под эгидой Соединенных Штатов, которые способны получить доступ к их аккаунтам. Взломщики используют фальсификацию куки-файлов, что не требует знания пароля пользователя.
Данное предупреждение не является первым. В прошлом году произошли похожие атаки, которые привели к серьёзным утечкам данных.
Что такое фальшивые куки-файлы?
Фальшивые куки идентичны с теми, что находятся в браузере. Однако фальшивые куки создаются в целях взлома. Недоброжелатели заставляют браузер обрабатывать их, словно это оригинальные куки-файлы. Идея взлома заключается в механизме аутентификации. Механизм, называемый HMAC, шифрует введенные пользователем данные (логин, пароль) и сравнивает его со HMAC в куки. Если значения совпадают — происходит аутентификация. Механизм рассчитан на то, что значения нельзя расшифровать, но хакерам это удается благодаря перехвату данных.
И что произошло?
Yahoo комментирует данную ситуацию следующим образом:
Наши судебные эксперты расследуют сущность фальсифицированных куки-файлов, которые могут открыть недоброжелателю доступ к аккаунтам пользователей без пароля. Судя по полученным данным, метод фальсификации куки-файлов был использован в период с 2015 по 2016 годы для доступа к аккаунтам. Мы оповестим всех пострадавших о взломе.
Неизвестно, сколько пользователей было атаковано, но можно предположить, что атаки, которые спонсируются государством, нацелены на небольшое количество людей.
На данный момент этот блок не поддерживается, но мы не забыли о нём!Наша команда уже занята его разработкой, он будет доступен в ближайшее время.
В сентябре компания рассказала о краже 500 миллионов учётных записей, которая являлась самой масштабной в истории. Однако в декабре она сообщила о краже миллиарда записей.
Хочется упомянуть компанию Verizon, которая собирается приобрести веб-гиганта Yahoo. Телекоммуникационная компания Verizon снизила сумму сделки на $250 миллионов после новостей о произошедших взломах. Для сравнения, кибератака на сеть супермаркетов Target, которая раскрыла информацию о 40 миллионах кредиток, обошлась компании в $162 миллиона. Кроме того, страховая компания возвратила Target $46 миллионов.
934 открытий937 показов
Описали четыре техники увеличения безопасности кода и подобрали примеры к каждой из них. В статье вы познакомитесь не только с универсальными приемами, но и специфическими – для серверов и ботов.
Киберугрозы — красный флаг для современного бизнеса. Назвали методы защиты ПО бизнеса от кражи данных и потери работоспособности IT-систем.
Дочерняя компания Google — TLD — открыла свободную регистрацию доменных имён .zip. Адреса мгновенно раскупили скамеры.
Президент России Владимир Путин подписал законопроект, который запрещает регистрацию на сайтах через иностранную электронную почту.