Waarom komt Yahoo er nu pas mee dat er in 2014 datadieven 500 miljoen gebruikersaccounts stalen? Hoe is het mogelijk dat de inbreker onder Yahoo’s radar is gebleven? Chief Security Strategist Kevin Bocek van Venafi bekijkt de zaak. “De zwakke encryptie is de belangrijkste oorzaak.”
“Het lijkt erop dat de inbrekers Yahoo’s eigen zwakke encryptie hebben misbruikt”, stelt Bocek. “Het is vrijwel onmogelijk zoveel vertrouwelijke informatie uit systemen te stelen zonder encryptie te gebruiken. Anders gaan alle alarmbellen rinkelen.”
Heeft Yahoo wel alle zwakke encryptie vervangen?
Want door de zwakke encryptie sluw te misbruiken kunnen hackers als een vertrouwde gebruiker binnenkomen en met vergaande rechten rondneuzen. Dat leidt tot de vraag of Yahoo na de inbraak alle encryptiesleutels en digitale certificaten heeft vernieuwd. Bocek: “Als dat niet grondig is gebeurd, zijn die 500 miljoen gebruikersgegevens nog maar het topje van de ijsberg.”
Als dat niet is gebeurd, zijn die 500 miljoen gegevens nog maar het topje van de ijsberg
Bocek baseert zijn mening op data uit TrustNet, een wereldwijde database met certificaatinformatie, de afgelopen dagen geanalyseerd door Venafi Labs. Zij ontdekten dat 27 procent van alle certificaten op Yahoo’s externe websites niet zijn vernieuwd sinds januari 2015.
Certificaten vervangen is belangrijke beveiligingsmaatregel
Het vervangen van certificaten na een inbraak is een belangrijke beschermingsmaatregel. Als dat niet gebeurt kunnen organisaties er nooit zeker van zijn dat cybercriminelen geen toegang meer hebben via versleutelde communicatie.
Slechts 2,5 procent van 519 gebruikte certificaten zijn de afgelopen 90 dagen uitgegeven, waardoor het erop lijkt dat Yahoo digitale certificaten niet makkelijk kan vinden en vervangen. Dat is een vaak voorkomende uitdaging, zelfs in grote organisaties met een prominente online aanwezigheid.
Digitale certificaten Yahoo gebruiken kwetsbare MD5-functie
Uit de analyse door Venafi Labs blijkt dat een verrassend aantal digitale certificaten van Yahoo de MD5-functie gebruikt, die met brute rekenkracht te kraken is. Verder heeft MD5 last van een aantal serieuze goed gedocumenteerde kwetsbaarheden. Onder andere Flame-malware, die overheden gebruiken voor spionagedoeleinden, benut de MD5-kwetsbaarheden.
Alle ontdekte encryptie-issues maken Yahoo kwetsbaar voor aanvallen
Alle MD5-certificaten en andere door Venafi Labs onderzochte certificaten die Yahoo momenteel gebruikt, zijn door het eigen bedrijf uitgegeven. Eén daarvan (*.yahoo.com) gebruikt wildcards en heeft een expiratieperiode van vijf jaar. Certificaten met een lange gebruiksperiode zijn per definitie gevoelig voor onvoldoende encryptiemanagement.
Yahoo gebruikt ook nog SHA-1 algoritme
41 procent van alle extern toegepaste Yahoo-certificaten gebruikt het SHA-1 algoritme, dat al langere tijd niet bestand is tegen goed gefinancierde hackers. Om die reden hebben de belangrijkste browserleveranciers aangekondigd in januari 2017 te stoppen met het accepteren van SHA-1 certificaten.
Alle bij Yahoo ontdekte encryptie-issues maken een organisatie bijzonder kwetsbaar voor aanvallen via versleutelde communicatie en authenticatie.
> Lees ook Zijn uw encrypties veilig en up-to-date?