Sikkerhedsforsker Sabri Haddouche har opdaget en sårbarhed, han kalder Mailsploit. Angribere kan udnytte sårbarheden til at sende mails med forfalsket afsenderadresse – også selvom man bruger DMARC (Domain-based Message Authentication, Reporting & Conformance).
Sårbarheden ligger i mailprogrammernes behandling af RFC-1342. Det er en standard for, hvordan man angiver afsendernavne med andre tegnsæt end ASCII.
Internetfirmaet Yahoo har tidligere oplyst, at hackere fik fat i data om over en milliard brugere ved et angreb i august 2013. Firmaet har nu revideret sin vurdering til, at hackerne sandsynligvis fik fat i data om alle de godt tre milliarder brugere, Yahoo havde på det tidspunkt.
Hackerne fik adgang til brugernes navne, e-mailadresser, telefonnumre, fødselsdatoer og passwords beskyttet med en hash-funktion.
Da Yahoo offentliggjorde angrebet sidste år, tvang det alle brugere til at skifte password, hvis de ikke havde gjort det siden 2013.
Hackerangrebet foregik i august 2013. Hackeren fik fat i navne, mailadresser, telefonnumre, fødselsdatoer, sikkerhedsspørgsmål med tilhørende svar, samt passwords beskyttet med hash-algoritmen MD5.
Yahoo formoder, at en statslig hackertjeneste er involveret.
MD5-algoritmen regnes ikke længere for sikker. Sikkerhedsekspert Jeffrey Goldberg fra AgileBits siger dog til The Register, at sikkerheden ved en hash-funktion i højere grad afhænger af, om der er brugt salt. Yahoo har ikke oplyst, om passwords var beskyttet med salt.
