Yahoo-hack komt niet door Shellshock

Yahoo maakte gisteravond bekend dat een handvol servers van het bedrijf is gehackt. De servers maken onderdeel uit van Yahoo Games en werden volgens het internetbedrijf binnengedrongen dankzij de Shellshock-bug. Dat zou van Yahoo het eerste grote bedrijf maken dat in aanraking komt met de kwetsbaarheid in de Bash-shell.

Beveiligingsexperts van Yahoo stonden versteld van de inbraak, omdat ze de servers onmiddellijk na de bekendmaking van Shellshock gepatcht hadden, tot tweemaal toe. Hoewel een patch het Shellshock-lek niet sluitend kan dichten was het team toch verrast.

Tweede bug
Intussen blijkt dat Shellshock toch niet de oorzaak is van het lek. Nadat Yahoo de getroffen servers offline had gehaald voerde het bedrijf een uitgebreid onderzoek naar de oorzaak en kwam het tot de conclusie dat de servers kwetsbaar waren dankzij een andere bug. Dat meldt Yahoo zelf aan de beveiligingswebsite Securityweek.com.

[related_article id=”161920″]

Yahoo ziet een belangrijke les in de vergissing. Shellshock is zo’n groot nieuws dat het verleidelijk is om het lek in de Bash-shell de schuld te geven van een kwetsbaarheid, zonder andere lekken te overwegen. Uiteindelijk konden hackers de servers van Yahoo binnendringen dankzij een kleine bug in een parsingscript.

FBI negeert ontdekker
Volgens Yahoo waren Roemeense hackers zich aan het voorbereiden op een grotere aanval op de Yahoo Games-dienst. De inbraak werd echter ontdekt voordat de hackers enige schade konden toebrengen. Het bedrijf benadrukt dat er geen gebruikersinformatie gestolen werd.

De aanval kwam aan het licht dankzij onafhankelijk onderzoeker Jonathan Hall. Die postte zijn bevindingen online nadat hij eerst genegeerd werd door de FBI. De onderzoeker wil via Reddit nog kwijt dat ook Yahoo zich niet erg toegankelijk opstelt. Het was vrijwel onmogelijk voor Hall om iemand te pakken te krijgen aan wie hij de bug kon melden.