Dit artikel wordt bijgewerkt als er nieuwe informatie beschikbaar komt.

Wat is er gebeurd?

Internetbedrijf Yahoo is gehackt. Het bedrijf heeft een persbericht verstuurd waarin het schrijft dat er een grote hack heeft plaatsgevonden waarbij gegevens zijn gestolen van gebruikers.

Het zou gaan om de gebruikersaccounts van niet minder dan 500 miljoen gebruikers. Dat zou de hack de grootste aller tijden maken. De grootste hack die tot nu toe ooit heeft plaatsgevonden is die van MySpace, waarbij in mei van dit jaar ruim 360 miljoen accountgegevens werden gestolen.

Er gingen eerder op donderdag al geruchten dat er een groot lek aan zat te komen. Iedere gebruiker die inlogde kreeg plotseling een prompt te zien om zijn wachtwoord te wijzigen en naar zijn beveiligingsgegevens te kijken. Ook Recode schreef dat er nieuws aan zat te komen volgens bronnen.

Yahoo bevestigde de geruchten op donderdagavond, maar zegt nog volop met onderzoek bezig te zijn.
 

Wat weten we over de hack zelf?

Yahoo wil niet veel kwijt over wat er exact is gebeurd, maar geeft twee opvallende details. De eerste is dat de hack al in 2014 plaatsvond, maar dat die nu pas aan het licht is gekomen. Dat is op zichzelf niet heel gek, want andere grote hacks zoals die op LinkedIn vonden ook jaren geleden plaats. Opvallender nog is dat Yahoo spreekt over 'een state-sponsored actor', ofwel een staat die achter de hack zit.

Veel meer details wil Yahoo er niet over kwijt, behalve dat de daders niet meer in het systeem zitten.

Als het werkelijk om een staatsgesponsorde aanval gaat, bijvoorbeeld vanuit Rusland of China, dan zou dat de verhoudingen tussen de verschillende landen op scherp kunnen zetten. Zeker Rusland wordt al met argusogen bekeken, sinds vorige maand bleek dat het land hoogstwaarschijnlijk achter de grote hack op de Democratische Partij zat. Die documenten kwamen later in handen van klokkenluiderswebsite Wikileaks, en tonen volgens experts aan hoe Rusland probeert de Amerikaanse verkiezingen te beïnvloeden.
 

Wat is er gestolen?

Yahoo zegt zelf dat het 'misschien' gaat om namen, emailadressen, telefoonnummers, en geboortedatums van gebruikers. Ook gaat het om wachtwoorden van gebruikers, maar die hebben een bcrypt-hash. In 'sommige gevallen' zijn ook de beveiligingsvragen en -antwoorden van accounts gestolen, die zowel versleuteld als onversleuteld waren.

Creditcard-data en andere betaalgegevens zouden niet zijn gestolen, zegt Yahoo. Al die informatie is overigens nog niet helemaal zeker, want Yahoo zegt nog volop met het onderzoek bezig te zijn.
 

Wie zijn er geraakt?

Yahoo neemt contact op met iedereen wiens data is gestolen, via email. Het bedrijf stuurt bevestigingen naar 'potentiële slachtoffers', wat erop lijkt te wijzen dat ook Yahoo zelf nog niet precies weet wie er getroffen is.

Het is dus niet bekend of het alleen maar gaat om gebruikers van een @yahoo-adres, of ook gebruikers van Yahoo-diensten zoals Flickr. Vaak zijn dergelijke accounts overigens wel gekoppeld, maar dat is niet altijd het geval.

Op het moment van schrijven is de hack nog niet bevestigd door Troy Hunt van Have I Been Pwnd. Op die site komt na grote hacks vaak een zoek-tool beschikbaar waarmee je kunt kijken of je emailadres of gebruikersnaam in een getroffen database staat. Hunt heeft zelf nog niet gereageerd op het lek, op een paar geruchten van eerder op donderdagmiddag na toen er al een lek aan leek te komen.
 

Hoe kan ik mezelf beschermen?

In Nederland had Yahoo nooit heel veel gebruikers, maar toch lijkt het niet ondenkbaar dat er in de gigantische berg gebruikersaccounts Nederlandse gegevens zitten. Heb je een Yahoo-account, dan moet je uiteraard zo snel mogelijk je wachtwoord veranderen. Het spreekt voor zich dat je hetzelfde moet doen bij andere diensten als je daar hetzelfde wachtwoord gebruikt.

Daarnaast is het slim om tweestapsverificatie in te stellen voor Yahoo. Dat kan hier. Let wel op: Je moet daarbij wel je telefoonnummer aan Yahoo geven - misschien gezien de huidige omstandigheden niet heel aantrekkelijk. Tweestapsverificatie is echter een goede manier om te zorgen dat een inbreker met alleen je wachtwoord niet zomaar naar binnen kan. Zet het dus vooral aan als je bang bent dat er gegevens uit je account worden gestolen (zoals emails). Heb je geen gevoelige gegevens in je Yahoo-account opgeslagen? Laat tweestapsverificatie dan uit staan.

Je kunt daarnaast ook Yahoo Account Key gebruiken, een speciale app die inloggen vanaf je telefoon mogelijk maakt. Je kunt hier lezen hoe dat werkt.

Kijk daarnaast in de instellingen van je account naar je meest recente logins. Je kunt daar zien waar en wanneer er voor het laatst is ingelogd in je account. Zie je iets verdachts? Meld dat dan aan Yahoo en controleer of er iets vreemds is gebeurd met je gegevens (zijn ze verwijderd, of aangepast?).
 

Wat betekent de hack voor de overname van Yahoo?

Yahoo werd onlangs voor 5 miljard dollar overgenomen door de Amerikaanse telecomprovider Verizon. Die overname is op dit moment nog niet rond; de Raden van Bestuur moeten nog akkoord geven, evenals de Amerikaanse toezichthouder voor telecom. Deze hack zou best een rol kunnen spelen in het afronden van die overname, al is het nog speculeren in welke mate dat zou zijn. Zowel Yahoo als Verizon hebben daar nog niets over gezegd, maar het zou kunnen dat de overname vertraging oploopt of in het uiterste geval zelfs helemaal niet door zou gaan - al lijkt dat laatste niet erg waarschijnlijk.