Lagi dan lagi, sepertinya kabar buruk masih belum mau pergi dari Yahoo. Kali ini mereka mengabarkan bahwa ada setidaknya 1 Milyar akun penggunanya berhasil dicuri hacker. Yahoo juga memberitahukan pada laporan insiden keamananannya bahwa hacker telah berhasil mendapatkan cara untuk mengakses email pengguna tanpa perlu memasukkan password sama sekali.
Bob Lord, Direktur Keamanan Informasi Yahoo menyatakan dalam pernyataan remsminya bahwa insiden kali ini tidak berhubungan dengan insiden keamanan informasi sebelumnya yang melibatkan 500 juta akun Yahoo dicuri. Insiden kali ini diperkirakan pertama kali terjadi pada bulan Agustus 2013.
Pernyataan tersebut juga menginformasikan bahwa informasi yang kemungkinan berhasil dicuri oleh hacker meliputi nama lengkap, alamat email, nomor telepon, tanggal lahir, password yang dihash menggunakan MD5, dan sebagian pertanyaan keamanan termasuk jawabannya yang tidak dienkripsi. Pertanyaan keamanan ini biasa dipakai oleh pengguna untuk memulihkan akun mereka jika mereka lupa dengan passwordnya.
Teknik yang digunakan oleh hacker kali ini adalah dengan memalsukan cookies milik pengguna. Cookies adalah sebuah file yang disimpan pada komputer pengguna yang berisi informasi sesi pengguna terhadap sebuah layanan website. Cookies juga berisi informasi apakah seorang pengguna telah login kedalam website atau belum. Dengan memalsukan informasi pada cookies ini, hacker berhasil masuk ke akun email pengguna Yahoo tanpa perlu memasukkan password sama sekali.
Langkah antisipasi yang direkomendasikan kepada pengguna adalah dengan melakukan penggantian password termasuk pertanyaan keamanan dan jawabannya pada layanan web lain yang menggunakan informasi yang sama dengan yang dipakai pada akun Yahoo mereka. Yahoo juga meminta penggunanya untuk melakukan pengecekan jika terdapat aktifitas mencurigakan pada akun pengguna. Yahoo memberikan rekomendasi untuk menggunakan fitur “Yahoo Account Key” sebagai ganti penggunaan password saat login. Yahoo Account Key adalah semacam fitur autentifikasi baru dari Yahoo yang memungkinkan pengguna untuk login tanpa password tapi menggunakan Key atau kunci khusus yang digenerate setiap kali pengguna akan login dan selalu berbeda setiap kali kunci tersebut digenerate. Cara untuk mengaktifkan fitur Yahoo Account Key ini ada di link referensi.
Referensi:
Yahoo: One Billion More Accounts Hacked
Important Security Information for Yahoo Users
Set up Yahoo Account Key to stop using passwords
![[Free Ebook] Hacker?: it’s not about black or white](https://i2.wp.com/netsec.id/wp-content/uploads/ebook-Hacker-its-not-about-black-or-white.png?resize=350%2C250&ssl=1)
![[Free Ebook] Hacker?: it’s not about black or white](https://i2.wp.com/netsec.id/wp-content/uploads/ebook-Hacker-its-not-about-black-or-white.png?resize=120%2C86&ssl=1)
![[Ebook] Bug Hunting 101 – Web Application Security Testing](https://i0.wp.com/netsec.id/wp-content/uploads/bug-hunting-cover.png?resize=120%2C86&ssl=1)
Comments 2