A Yahoo! megerősítette, hogy betörtek hozzá, legalább 500 millió felhasználó adata szivárgott ki

Titkosítás, biztonság, privát szféra

A Yahoo! megerősítette, hogy betörtek hozzá és minimum 500 millió felhasználó adata került illetéktelenek kezébe. A Business Insider szerint ez minden idők legnagyobb adatlopása lehet. A betörés 2014 végén történt. Mit vittek? Neveket, e-mail címeket, telefonszámokat, születési dátumokat, hashelt jelszavakat és egyes esetekben titkosított és titkosítatlan biztonsági kérdéseket és válaszokat.

[ Yahoo közleménye a felhasználókhoz ]

( uid_16313 | 2016. 09. 23., p – 09:34 )

Rohadjon meg mindenki, aki az ilyen bejelentéseket két év után hozza nyilvánosságra.
Elöször bohócot csinálnak magukból a töketlenségükkel, másodszor meg a bejelentésükkel.
Be se kellett volna jelenteni. Minek? Ùgyis tudjuk, hogy minden adatunk szaladgál a neten Kína és az NSA között oda-vissza...

--
robyboy

( esikgabi | 2016. 09. 23., p – 09:41 )

Ma reggel kaptam egy email-t a gmail-es címemre a yahoo-tól amiben ezt leírták.
Az a különös, hogy nem is emlékszem, hogy nekem lett volna yahoo account-om.
Szóval elég különös ez most.

( timi | 2016. 09. 23., p – 10:01 )

Nézzük a jó oldalát, legalább a jelszavakhoz nem fértek hozzá. Rosszabb esetben ezekhez is, de ezt csak majd 2018-ban fogja beismerni a Yahoo.

Azt gondolom jól döntöttem amikor Flickről Google Photosra váltottam.

Megkérdezhetlek, hogy az átlagos felhasználói ígényeket tekintve, ez az osztályozási "privilégium" nem zavaró? És a képek valóban nem is cimkézhetőek?

"A fotókat a rajtuk lévő helyek és dolgok alapján rendszerezzük és tesszük kereshetővé, így nincs szükség címkézésre. Csak keress rá arra, hogy „kutya”, és az összes, a kedvenc kutyusodról készült kép megjelenik."

Valamint képenként linkelhetők akárhová? (Pl. "OneNote"-ra gondoltam..) - (Csak azért, mert G., és "ugye" és a személyes fenntartások...)

Címke nincs de description adható minden képhez. Ide akár címke szavakat is írhatsz. Keresésben ezekre is keres és abban igen jó a google.
Valóban rendszerez felismert képtatalom szerint és természetesen helyinformáció alapján is tudsz keresni ha a képek készítésénél ez be volt kapcsolva.
Ha nem kapcsolod ki, akkor rendszeresen készít a Google automatikusan "photoshoppolt" képeket, kisfilmeket, animált fotóalbumokat, ami szerintem jó ötlet. Természetesen minden kép eredetiben is megmarad.
G+ Facebook Twitter megosztásra van gomb, plusz bármilyen más megosztásra kapsz linket.

Aham es most adtak el...

Amugy van erzekuk a bizniszhez:

1998 Yahoo refuses to buy Google for $1 million

2002 Yahoo realizes its mistake and offers to buy Google for $3 billion Google wants $5 billion Yahoo refuses

2008 Microsoft offers to buy Yahoo for $40 billion Yahoo says no

2016 Yahoo sold to Verizon for $ 4.6 billion

Nincs igazad!
Már akkor verte a Google az összes konkurens keresőt. Az altavistát is. Puritán Google keresőoldal hamarabb betöltődött azokban a modemidőkben, és jobban nézett ki a Google zavaró izgő-mozgó animált reklámok nélkül.
A konkurensekkel szemben nem a weboldalak címkéi alapján keresett a Google mint a konkurensek. Azokba beleírtak mindent, hogy több találati listába bekerüljön a honlap így az egész értelmét vesztette.

A Google linkek száma alapján készítette a találati listákat. A Google az a kereső, amely nyilvános megjelenése első percétől a legjobb kereső volt.

Normális HUP-ot használok!

Attól, hogy technológiája más volt, mint a többieké, baromira nem verte a többi keresőt 98-ban. Sokkal kisebb indexe, sokkal kisebb látogatottsága volt.

" A Google az a kereső, amely nyilvános megjelenése első percétől a legjobb kereső volt."
A cégek nem a legjobbért, hanem a legnagyobb profitot termelőért fizetnek.

A jó (meg a minőség) az relatív dolog. Minőség az, amit a vevő annak tart.
Lehet mérni a Google jóságát a keresési eredmények átlagos relevánsságában, a kiszolgálás gyorsaságában, de lehet mérni privacyban is.
Van akinek a DuckDuckGo minőségibb kereső, mint a Google, a privacy miatt.
Ez teljesen szubjektív dolog. Minőség az, amit a vevő annak tart.
Másik példa: a Parker toll is minőségi, és a Signetta is. Ez utóbbi tökéletes olyan helyekre, ahol a tollak gyakran eltűnnek, elhagyják őket, stb. Itt a minőség része az, hogy olcsó, eldobható tollakról van szó.
A minőség (jóság) totál relatív fogalom.

Viszont egy befektető ezt (mivel szubjektív dolog) pont leszarja. Neki a profit számít, ami viszont objektív dolog.

( zolij | 2016. 09. 23., p – 10:46 )

Akkor hagytam ott a Yahoo-s szolgáltatásokat, amiket megszüntették a Google és az FB login lehetőségét. Éreztem én, hogy nem szabad jelszavakat rájuk bízni...

Tfh, hogy az accod nem teszt célból van. Vagyis minden más oldalon azt az e-mail címedet adod meg. Vagyis minden más oldalon, ha kérsz egy jelszóemlékeztetőt, arra az e-mailre kapod a linket.

Ha valaki ellopja a mail fiókod, buktad az on-line életed, mert onnantól kezdve mindenhez hozzáfér, aminél azt a fiókot használtad. (vonatkozó youtube-videó: https://www.youtube.com/watch?v=y4GB_NDU43Q)

--
Szerk.: oh, és lásd a hírt, 2004 óta azért lehetett kárt okozni...

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Neked és timi-nek is: 2 factor auth ide, megbízható szolgáltató oda, bármikor megfeküdhet egy bug miatt egy-egy szolgáltatás auth része.
A linkelt videóban ez mondjuk egy képzeletbeli szándékos lépés eredménye, de elhangzik benne, hogy ugyanez a bug (kb. egy rossz helyre beszúrt return true az auth-ban...) pl. a Dropbox-nál becsúszott... és bárki nevében be tudtál lépni.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Ebben is van igazság. De a saját szerverbe is belevághat a villám és akkor hiába a raid5 meg hot spare diskek, oda lesz minden adatod hacsak nem archiváltál mellé. Vannak ugyan nagyon megbízható serverhosting szolgáltatók, de annak az ára is megvan. Különben volt már arra is példa, hogy jó nevű szolgáltatótól vittek el szervert illetéktelenek tokkal-vonóval és persze a rajta levő adatokkal.
A mostanában felhős jelzővel illetett szolgáltatások nagyon jó áron kínálnak stabil szolgáltatásokat. Természetesen jól kell választani közöttük. Titkosítás hozzáadásával, több e-mail cím használatával már igen magasra lehet emelni a biztonságot úgy, hogy az adatveszteség is minimalizálható. És sokkal kevesebbe fog kerülni mint saját hardveren.

Tényleg nézd meg a videót, amit fentebb linkeltem, mert félreérted, hogy miről beszélek :)

Nem a saját adataim elvesztése az, ami itt gond lehet. Tfh., hogy trey a HUP-ra a gmail címével van regisztrálva. Tegyük fel, hogy kikerülnek akár csak a Gmail hash-ek a netre - van néhány órád (vagy ahogy fent látjuk: éved!) arra, hogy ráeressz egy hash generátort és rájöjj, hogy trey gmail jelszava password123. Aztán kikérsz egy jelszóemlékeztetőt trey e-mail címére, belépsz a gmail fiókjába, megváltoztatod a HUP jelszavát, és az újonnan szerzett admin hozzáféréseddel egy mozdulattal törlöd az oldalt. Kinyírtál egy évtizedes közösséget, mert volt egy biztonsági SPOF a rendszerben - az e-mail. És ez a legkevesebb...

Ahhoz képest, amekkora kárt így lehetne okozni semmi az, hogy bukom a pótolhatatlan kutyás képeimet, még ha zavarna is.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

De ehhez tudni kell Trey hup-jelszóemlékeztetős e-mail címét. Hiába van meg minden usernév és jelszó ha nem tudod melyik e-mail címre megy a hup-ról a jelszóemlékeztető.
Például ezért célszerű több email címet használni, a kritikus dolgokat (mint jelszóemlékeztetők) más címre kell küldeni mint amivel naponta levelezel és így sokan ismernek.
Ha pedig Trey naponta csinál mondjuk egy duplicity-mentést egy másik stabil felhős szolgáltatóhoz (pl. Amazon) akkor a teljes hup elvesztésekor is visszaállítható a portál.

Még nem tudtam megnézni a videót, de amit írsz az nagyon hasonlít a Twitteres 'N' account elvesztésére.

Néhány dolog:

Jobb esetben hiába találod ki trey e-mail címét, és jelszavát, amikor próbálsz belépni kéri a gugli a 2 factor auth kódot. Bukta. Ha mégis belépsz, trey azonnal kapja az összes eszközén az értesítést, hogy valaki belépett egy új helyről a fiókjába, ha szemfüles azonnal ki tud dobni, és megváltoztatni a jelszavát. Még jobb esetben ha gyanús helyről vagy környezetből lépsz be, akkor a Gugli ellenőrző kérdéseket fog tolni, vagy ha be van állítva, akkor a telefonodon kell jóváhagyni a belépést.

Jobb esetben hiába törlöd az egész HUP adatbázist, gyakori backupokból visszaállítják az egészet, max elveszik pár órányi vagy napnyi tartalom.

És egyébként tény, hogy a legtöbb szolgáltatásba elég könnyű besétálni úgy, ha hozzáférésed van az email fiókhoz, amivel regisztráltak oda, de nem mindegyikhez. Van ahol kérnek felhasználónevet is a jelszóemlékeztetőhöz, mák kérdése, hogy az-e a felhasználónév amit sejtesz az illetőről. Sok helyen van továbbá 2 factor auth. A legtöbb oldalra Facebookkal jelentkezik be az ember, tehát hozzá kell férni az FB-hez, ami nem olyan könnyű még akkor sem, ha nincs 2 factor auth. Pl FB engem kizárt amikor külföldről léptem be, azonosítanom kellett az ismerőseimet fénykép alapján, amit nem tudtam, mert a sok iq harcos mindenféle vicces figurákat használ, meg kamu nevet, meg ismerősöm az is aki bejelöl csak mert egy városban élünk.

Jobb esetben hiába találod ki trey e-mail címét, és jelszavát, amikor próbálsz belépni kéri a gugli a 2 factor auth kódot ...

HA trey ténylegesen gmail-t használ és HA trey bekapcsolta a 2-factor auth-ot. Yahoo-nál is van ugyanez? A szolgáltatód ISP-jénél levő mailen is van ez? A saját szervereden futó mail szerveren is van multi factor auth, behatolás-szűrő rendszer?

Jobb esetben hiába törlöd az egész HUP adatbázist, gyakori backupokból visszaállítják az egészet, max elveszik pár órányi vagy napnyi tartalom.

A HUP ebből a szempontból valóban nem biztos, hogy jó példa, mert feltételezhetően egy kompetens ember menedzseli és van back-up. Hány millió/milliárd olyan oldal van, amiről viszont nincs?

Van ahol kérnek felhasználónevet is a jelszóemlékeztetőhöz

Ami meg többnyire beleírnak az "üdvözlünk az oldalon, légyszi igazold vissza a mail címed" levelekbe :)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Yahoo-nál is van ugyanez? A szolgáltatód ISP-jénél levő mailen is van ez? A saját szervereden futó mail szerveren is van multi factor auth, behatolás-szűrő rendszer?

Többek között ezért sem használom a Yahoo levelező szolgáltatását, a szolgáltatóm messziről gagyinak látszó email tákolmányát pedig még kevésbé volna kedvem használni. Nincs saját mail szerverem, ha lenne, akkor viszont nem érintene sem egy Google, sem egy Yahoo leak. Nyilván egyedi jelszót használok a levelezésem elérésére a fontosságát tekintve.

"HA trey ténylegesen gmail-t használ és HA trey bekapcsolta a 2-factor auth-ot. Yahoo-nál is van ugyanez?"
Ezért érdemes Gmailt használni.

"A szolgáltatód ISP-jénél levő mailen is van ez?"
Ne viccelj már! Ki használja még ezeket?!

"A saját szervereden futó mail szerveren is van multi factor auth, behatolás-szűrő rendszer?"
Saját email szervert elég hatékonyan lehet védeni többek között úgy, hogy csak openvpn-ről érhető el, esetleg + yubikey.

"A HUP ebből a szempontból valóban nem biztos, hogy jó példa, mert feltételezhetően egy kompetens ember menedzseli és van back-up. Hány millió/milliárd olyan oldal van, amiről viszont nincs?"
Ennek a millió/milliárd oldal tulajdonosának ezért is célszerű megbízható felhős szolgáltatós választani saját szerver helyett, ahova valóban kell szakértelem és tapasztalat. Google-nél például ott van a Takeout, amivel a Google accounthoz tartozó összes szolgáltatásban levő adatodat lementheted. Akár rendszeresen is.

Továbbá amint már irtam, hiába van meg minden usernév és jelszó ha nem tudod melyik e-mail címre megy a hup-ról a jelszóemlékeztető. Hup helyére tetszőleges saját, nem rendszeresen archivált drupal portál behelyettesíthető.

Ezért érdemes Gmailt használni.

Mert akiknél sok user van, azokat nem lehet feltörni, nem nézhetnek be valamit nagyon csúnyán [továbbra is: nézd meg a linkelt videót!]? A Yahoo a maga 500 milliójával egy huszadrangú kis senki, igaz?

"A szolgáltatód ISP-jénél levő mailen is van ez?"
Ne viccelj már! Ki használja még ezeket?!

Ne viccelj már! Ki használ még a mai világban yahoo-t...

"A saját szervereden futó mail szerveren is van multi factor auth, behatolás-szűrő rendszer?"
Saját email szervert elég hatékonyan lehet védeni többek között úgy, hogy csak openvpn-ről érhető el, esetleg + yubikey.

Látom sikerült leragadni azon a szinten, hogy csak abban gondolkozol, hogy olyan ember e-mailjei lehetnek fontosak, aki _felfogja_, hogy milyen veszélyei vannak (átlag: nem) és aki hajlandó hosszabb távon (átlag: nem) tenni a súlyának megfelelő biztonsági lépéseket.

hiába van meg minden usernév és jelszó ha nem tudod melyik e-mail címre megy a hup-ról a jelszóemlékeztető.

Az ugye meg van, hogy ha itt küldök egy PM-et, az azonnal a postafiókjában landol, ha meg válaszol rá (akár közvetlenül e-mailben, akár a HUP-on), máris tudom az e-mail címét. És hogy rengeteg oldal egyszerűen kiírja az e-mail címed. Meg hogy ez azért security by obscurity, ami egy pontig működik (valóban regisztrálhatok mindenhova address extensionnel [x.y+hup@example.org, x.y+hwsw@example.org], de az mondjuk 1000 e-mail cím a fenti 500 millióból, a többi nem így működik)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

"Látom sikerült leragadni azon a szinten, hogy csak abban gondolkozol, hogy olyan ember e-mailjei lehetnek fontosak, aki _felfogja_, hogy milyen veszélyei vannak (átlag: nem) és aki hajlandó hosszabb távon (átlag: nem) tenni a súlyának megfelelő biztonsági lépéseket."

Szerintem pedig aki _nem_fogja_fel_ az inkább ne üzemeltessen saját email szervert.

"Az ugye meg van, hogy ha itt küldök egy PM-et, az azonnal a postafiókjában landol, ha meg válaszol rá (akár közvetlenül e-mailben, akár a HUP-on), máris tudom az e-mail címét. És hogy rengeteg oldal egyszerűen kiírja az e-mail címed. Meg hogy ez azért security by obscurity, ami egy pontig működik (valóban regisztrálhatok mindenhova address extensionnel [x.y+hup@example.org, x.y+hwsw@example.org], de az mondjuk 1000 e-mail cím a fenti 500 millióból, a többi nem így működik)"

Ha Trey használ mail aliasokat és hup-on válaszol neked, akkor egy olyan email címet fogsz megtudni, ami fogad leveleket de belépni nem tudsz vele. Azért a hup-on csak adnak a biztonságra.

Különben nagyon sok ponton egyetértek veled. Csak ott nem, hogy nincs semmilyen biztonságos megoldás egy laikusnak. Jól kell szolgáltatót választani. A Google két faktoros auth-al már nagy biztonságot ad és egy laikus számára is érthető. Nem azért biztonságos mert a két faktoros auth csoda lenne. Igazad van abban is, hogy rossz szolgáltatói adminisztráció mellett ez sem 100%. A Googlenél van pénz a biztonságra, jól karban tarják a szolgáltatásikat ezért megbízható. A Yahoonál, ahol már tejszínre sem telik a kávéba sokkal nagyobb a kockázat. Azzal is növeli a biztonságot a laikus felhasználó, ha fizet a szolgáltatásokért. Akkor legrosszabb esetben is fel tudja venni a kapcsolatot a Google-lel és visszakapja az accountját. Ha a weboldala is ott volt akkor azt is visszakapja. Akinek van egy hup méretű portálja szerintem már nem érdemes spórolni a havidíjon.

Mr. Helikopter megjegyzése: " buktad az on-line életed" - jobb is, legyen inkább valódi életed! :)

Mr. Security megjegyzése: Ezért célszerű megbízható szolgáltatónál (pl. google) tartani az e-mail címet.

Mr. Businessman megjegyzése: Ha fizetős accountot választasz, nemcsak több tárhelyet és extra szolgáltatásokat kapsz, de bármikor visszanyerheted a kontrollt az elvesztett accountod felett.

+ tigrincsnek is igaza van: ezert talaltak fel a 2 factor authot is.