Yahoo slachtoffer van mega-datalek: 500 miljoen accounts gestolen

EPA

Er zijn eind 2014 ten minste 500 miljoen accounts gestolen bij Yahoo. In de gegevens stonden e-mailadressen, telefoonnummers, geboortedata, versleutelde wachtwoorden en in sommige gevallen beveiligingsvragen. In aantallen gaat het, zover bekend, om één van de grootste datalekken ooit.

De meeste wachtwoorden zijn versleuteld met een methode die bcrypt wordt genoemd. Deze staat als bekend als betrouwbaar, waardoor het voor internetcriminelen lastig zal zijn om de encryptie te kraken. Dat maakt deze hack wel groot, maar minder ingrijpend dan andere datalekken waarbij wachtwoorden wel makkelijk te achterhalen waren.

Geen creditcardgegevens

Het internetbedrijf heeft tot nu toe geen aanwijzingen dat tussen de gestolen gegevens onbeveiligde wachtwoorden, creditcard- of bankgegevens zitten. Yahoo denkt dat het datalek het werk is van een door een overheid gesponsorde organisatie. Om welke overheid het zou gaan is niet duidelijk.

Het bedrijf gaat getroffen gebruikers mailen, zij moeten zo snel mogelijk hun wachtwoord aanpassen. Yahoo adviseert daarnaast gebruikers die sinds 2014 hun wachtwoord niet meer hebben gewijzigd om dat te veranderen. Yahoo heeft momenteel naar eigen zeggen ongeveer een miljard maandelijks actieve gebruikers.

Het bedrijf wil niet zeggen hoeveel Nederlandse gebruikers getroffen zijn. 

'Nieuw record'

De data-roof bij Yahoo is groot, zelfs zo groot dat de kans bestaat dat het een nieuw record vestigt. Beveiligingsonderzoeker Troy Hunt houdt via de website Have I Been Pwned? bij welke lekken er bekend zijn. Tot nu toe was de hack bij het sociale platform MySpace met ruim 359 miljoen getroffen accounts in aantallen het grootst, daar gaat Yahoo dus ruim over heen. Al bestaat de kans dat er altijd nog grotere, maar onontdekte, lekken zijn.

Het gerucht over een datalek bestaat al langer. Een internetcrimineel bood in augustus 200 miljoen Yahoo-accounts te koop aan. Sindsdien is het internetbedrijf de zaak aan het onderzoeken. Yahoo-medewerkers konden de claim over de 200 miljoen accounts niet verifiëren schrijft The New York Times, maar ontdekten tijdens het onderzoek wel het veel grotere lek.

Het is niet de eerste keer dat Yahoo slachtoffer is geworden van een datalek. In 2012 werden er meer dan 400.000 wachtwoorden gestolen van de dienst Yahoo Voice. En in begin 2014 waarschuwde het bedrijf gebruikers dat zijn maildienst doelwit was, schrijft zakenblad Forbes.

Verizon wist van niks

Het nieuws komt op een slecht moment voor Yahoo. Het gaat niet goed en Telecomprovider Verizon heeft in juli aangegeven het bedrijf te willen kopen voor omgerekend 4,37 miljard euro. Maar een datalek van deze omvang maakt een overname een stuk minder aantrekkelijk.

Verizon zegt twee dagen geleden op de hoogte te zijn gesteld van het datalek. Betrokkenen bij Yahoo hebben tegenover techsite Recode kritiek geuit op de manier waarop andere incidenten werden aangepakt door de leiding van het bedrijf, onder wie topvrouw Marissa Mayer.