網絡巨頭雅虎遭受了巨大的數據洩露。該漏洞發生在2014年,導致5億雅虎用戶的信息在黑暗網絡上**。
這起盜竊案的規模讓最近發生的其他重大數據洩露事件相形見絀,並將雅虎的安全措施置於聚光燈下。
雅虎發表聲明,確認並詳細說明了這一安全漏洞,聲稱數據被“國家贊助”的黑客竊取。2014年,該公司的姓名、電子郵件地址、電話號碼和安全問題等信息被盜。
"A recent investigation by Yahoo has confirmed that a copy of certain user account information was stolen from our network in late 2014 by what we believe is a state-sp***ored actor. We are working closely with law enforcement authorities and notifying potentially affected users of ways they can further secure their accounts."
一個小小的積極因素是,雅虎知道該漏洞不包含“未受保護的密碼、支付卡數據或銀行賬戶信息”。儘管如此,雅虎發佈的聲明將引起安全研究人員對事件發生時間以及該公司在該漏洞發生後幾天的行動的進一步質疑。
在許多安全研究人員的問題列表中,排在首位的是“為什麼要花這麼長時間來確認一個如此大規模的黑客攻擊?”這也很容易引發其他人的問題。為什麼雅虎花了這麼長時間才告知用戶違規行為?
國家發起的攻擊的概念也令人費解。到目前為止,雅虎還沒有拿出任何證據證明該漏洞與一個民族國家行為者有關,不過三名拒絕透露姓名的美國情報官員向路透社證實:
"...they believed the attack was state-sp***ored because of its resemblance to previous hacks traced to Russian intelligence agencies or hackers acting at their direction."
即使該漏洞與以前的民族國家攻擊相似,這些漏洞通常不會導致私人用戶數據的發佈。更為罕見的是,在黑暗的網絡上找到了那些被廣告**的證書。
另一個有趣的是,**數據洩露部分的個人的身份。一位名為“Peace of Mind”的用戶也曾**MySpace和LinkedIn漏洞的數據轉儲,他正在積極兜售這些數據。
SentinelOne安全策略主管傑裡邁亞·格羅斯曼(Jeremiah Gros**an)表示,“雖然我們知道這些信息是在2014年底被盜的,但我們沒有任何跡象表明雅虎是何時第一次得知這一漏洞的。這是故事中的一個重要細節。”
格羅斯曼認為,由於Peace of Mind是一個“奸商黑客”,他們不太可能得到國家的贊助;因此,“這意味著,我們有可能在他們的系統中看到兩個不同的雅虎漏洞和兩個不同的黑客組織。”
"The vast number of people affected by this cyber attack is staggering and dem***trates just how severe the c***equences of a security hack can be…We don’t yet know all the details of how this hack happened, but there is a sobering and important message here for companies that acquire and handle personal data. People’s personal information must be securely protected under lock and key – and that key must be impossible for hackers to find." – United Kingdom Information Commissioner Elizabeth Denham
雅虎的聲明證實,絕大多數被盜密碼是用bcrypt散列的。散列是將密碼轉換為固定長度的“指紋”的過程,當用戶嘗試登錄時,該指紋會被調用和檢查。它是保護用戶信息的一種基本方法,但仍被一些網站所忽視。
Bcrypt被認為是一種安全的散列方法,因為散列也是“鹽漬”的,在這個過程中,每個散列將是不同的,即使它保護相同的密碼。
密碼令人惱火,但很容易更改;母親的孃家姓則不然。黑客還破解了明文安全問題。長期以來,安全問題一直受到關注,因為它們在識別以前的違規行為中所起的作用,但它們仍然是大多數用戶帳戶登錄系統的主要特徵。
因此,雅虎向其所有用戶發送了一條密碼重置消息。他們鼓勵用戶:
我們不能充分強調第一個建議。我們還建議讀者考慮其他網站,他們可能使用了登錄憑據,例如照片存儲服務Flickr或社交書籤網站美國.
你可能已經創建了一個雅虎帳戶而沒有意識到它是不安全的。
雅虎現在獲得了一個不受歡迎的王冠:史上最大的企業數據洩露事件。
2016年7月,美國電信巨頭Verizon以50億美元收購了雅虎的互聯網業務。不過,這次違約預計不會影響收購。
我們的建議與任何重大數據洩露一樣。重置密碼。另外,在接下來的幾周和幾個月裡仔細檢查你的電子郵件和短信。記住永遠不要重複使用您的帳戶憑據。
憑證重用;一次也沒有。
你的賬戶被洩露了嗎?雅虎花了這麼長時間才採取行動,你感到驚訝嗎?下一步將違反哪個主要服務?下面讓我們知道你的想法!
...了移動電子郵件客戶端,Gmail和Outlook在使用方面仍然高於雅虎郵件。但是,雅虎仍在努力通過後端最佳化、增強功能和新的付費免費雅虎郵件Pro來改進郵件服務。 ...
...唯一一種USB棒可以提高您的資料安全性和隱私的方法嗎?我們有五種方法,你應該重新考慮你使用USB快閃記憶體驅動器的方式,並使你的數字生活更加安全。 ...
... 但不要絕望,我們是來幫助你的。我們將解釋各種Windows版本中Windows預設管理員帳戶的情況,並向您展示如何重置管理員密碼。 ...
檔案壓縮是web工作方式的核心部分。它允許我們傳輸檔案,否則會佔用太多的頻寬和時間。無論何時訪問ZIP檔案或檢視JPEG影象,您都可以從檔案壓縮中獲益。 ...
...丟失的Linux分割槽。如果是這樣,您需要修復載入程式。我們的Linux PC在不啟動時如何修復的指南向您展示瞭如何做到這一點。 ...
...問題是不安全的。美國政治家莎拉·佩林(Sarah Palin)的雅虎賬戶因有人在網際網路上搜索她的生日、郵政編碼和與配偶相識的地點而遭到駭客攻擊。 ...