Yahoo har enligt uppgift bekräftat massivt dataintrång

Efter rapporter om att Yahoo kommer att bekräfta ett dataintrång som påverkar hundratals miljoner konton, rapporterade vissa användare på torsdag på Twitter och på andra håll att de uppmanades att ändra sitt e-postlösenord när de försökte logga in.

Yahoo inledde en undersökning av ett eventuellt överträdelse i början av augusti efter att någon erbjöd sig att sälja en datadump på över 200 miljoner Yahoo-konton på en underjordisk marknad, inklusive användarnamn, lösenordskrävningar som är lätta att spricka, födelsedatum och e-postadresser för säkerhetskopiering.

Företaget har sedan dess fastställt att överträdelsen är verklig och att det är ännu värre än man trodde, berättade nyhetswebbplatsen Recode torsdag, med hänvisning till namngivna källor som är bekanta med utredningen.

Även om Yahoo ännu inte har meddelat och inte direkt svarat på en begäran om kommentar, har företaget uppmanat vissa användare att återställa sina lösenord under det senaste dygnet på grund av "misstänksam aktivitet" på sina konton.

Frågan att återställa lösenord kanske inte är direkt kopplad till det rapporterade dataöverträdelsen. Men en bekräftelse av överträdelsen nu, mer än en och en halv månad efter att uppgifterna lades ut, kommer sannolikt att få frågor om varför företaget väntade så länge innan de tvingade användarna att ändra sina lösenord.

MER PÅ NETWORK WORLD: 6 enkla trick för att skydda dina lösenord

"Om det verkligen fanns tillgängligt då och Yahoo bara bekräftar det nu, skulle jag verkligen vara intresserad av varför förseningen var så lång", sa Troy Hunt, en säkerhetsforskare som driver webbplatsen för informationsbrott Har jag blivit pwned?.

Användaren som annonserade Yahoo-kontodata på en underjordisk webbplats använder onlinehandtaget peace_of_mind och är en välkänd säljare av stulen information. Han har tidigare lagt ut till försäljning miljoner kontoposter från MySpace, LinkedIn, Tumblr och andra webbplatser och för det mesta har dessa överträdelser bekräftats även om de faktiskt hade inträffat år tidigare.

"Vi såg LinkedIn, MySpace och tumblr [data dumps] som alla går tillbaka i många år men ändå bara dyker upp till salu nu så Yahoo kan vara i linje med det," sa Hunt via e-post.

Med tanke på Peace's meritlista sa forskaren att han inte skulle ha varit förvånad över att uppgifterna lades ut förra månaden om det visade sig vara giltigt, även om vissa ifrågasatte om Fred faktiskt hade informationen vid den tiden.

Det är konstigt att ingen hittills har lyckats få en kopia av datauppsättningen och bekräftat dess äkthet, åtminstone inte offentligt, särskilt eftersom Fred är känt för att sänka sitt pris över tid. Hunt anser att om denna datadump följer samma mönster som andra nyligen kommer den att dyka upp i det offentliga området snart och han kommer att kunna lägga till den till Har jag blivit pwned.

En bekräftelse av dataöverträdelsen den här veckan skulle komma när Yahoos försäljning på 4,8 miljarder US $ av sina kärnverksamheter till Verizon håller på att slutföras; affären har ännu inte godkänts av tillsynsmyndigheterna.

Gå med i nätverkets världssamhällen på Facebook och LinkedIn för att kommentera ämnen som är övertygade.