网络巨头雅虎遭受了巨大的数据泄露。这项违规行为发生在2014年,导致有5亿雅虎用户在暗网上出售信息。
盗窃案的规模使其他近期,主要的数据泄露事件和地点都相形见war
发生了什么事?
Yahoo发表声明确认并详细说明了安全漏洞,并断言数据被盗由“国家赞助"的黑客。该公司在2014年盗取了包括姓名,电子邮件地址,电话号码和安全性问题在内的信息。
“ Yahoo最近的一项调查证实,某些用户帐户信息的副本是从我们的网络(在2014年下半年,我们认为是国家赞助的演员。我们正在与执法机构密切合作,并向潜在受影响的用户通知他们可以进一步保护帐户的方式。"
一个小小的正面结论是,该违规行为不包含“未受保护的密码,支付卡数据" ,或银行帐户信息。"尽管如此,雅虎发表的声明将引起安全研究人员对事件时间表以及公司在违规后几天的行动的进一步质疑。
— Ben Canner (@InfoSec_Review)2016年9月22日
提出重要问题
毫无疑问,许多安全研究人员首先将问题列表列为“为什么确认如此规模的黑客花了这么长时间? ?"这也容易引起其他问题。为何雅虎花这么长时间通知用户违规行为?
— Troy Hunt(@troyhunt)2016年9月23日
由国家发起的攻击的概念也令人困惑。迄今为止,雅虎尚未提供任何证据表明该违规行为与一个民族国家演员有关,尽管路透社证实了三名拒绝透露姓名的美国情报官员:
"……他们相信这次攻击是由国家发起的,因为它与以前的黑客行为相似,可以追溯到俄罗斯情报机构或黑客在其指挥下采取的行动。"
即使该漏洞与以前的民族国家攻击都相似。
数据泄露的个人出售部分的身份进一步引起人们的兴趣。曾经出售过MySpace和LinkedIn违规数据转储的名叫“ Peace of Mind"的用户正在积极兜售数据。我们知道该信息是在2014年末被盗的,因此我们没有任何迹象表明雅虎何时首次了解到此违规行为。
Grossman认为,由于Peace of Mind是“奸商黑客",因此他们不太可能获得政府的资助。因此,“这意味着我们有可能正在研究两个不同的Yahoo漏洞,它们的系统中存在两个不同的黑客团体。"
"受此网络攻击影响的大量人员令人震惊,并证明了安全黑客的严重后果可能是……我们尚不了解这种黑客如何发生的所有细节,但是对于那些获取和处理个人数据的公司来说,这里有一个严肃而重要的信息。人们的个人信息必须受到锁和钥匙的安全保护-而且黑客必须无法找到该钥匙。" –英国信息专员伊丽莎白·丹纳姆(Elizabeth Denham)
这有多严重?
雅虎的声明证实,绝大多数被盗密码都是使用bcrypt进行哈希处理的。散列是将密码转换为固定长度的“指纹"的过程,当用户尝试登录时,该指纹将被调用并检查。这是保护用户信息的基本方法。
Bcrypt被认为是一种安全的散列方法,因为散列也被“撒了盐",即使每个散列都保护相同,散列也会有所不同。密码。
密码很烦人,但很容易更改;母亲的娘家姓不是。黑客还违反了纯文本安全性问题。安全问题长期以来一直受到审查,因为它们在以前的违规事件中可以识别用户帐户,但是它们仍然是大多数用户帐户登录系统的主要功能。
因此,雅虎已向所有用户发送了密码重置消息。他们鼓励用户:
我们不能充分强调第一个建议。我们还建议读者考虑其他他们可能已使用其登录凭据的网站,例如照片存储服务Flickr或社交书签网站Del.icio.us。
您可能已经创建了Yahoo帐户没意识到这是不安全的。
雅虎如今大获全胜:历史上最大的企业数据泄露。
In 2016年7月,美国电信巨头Verizon以50亿美元收购了雅虎的互联网业务。但是,预计该漏洞不会影响收购。
— Bob Varettoni(@bvar),2016年9月22日
我们的建议与任何重大数据泄露事件的建议相同。重设密码。另外,请在接下来的几周和几个月内仔细检查您的电子邮件和短信。请记住切勿重复使用您的帐户凭据。
凭据重用;甚至没有一次。
您的帐户是否受到威胁?您对Yahoo花费多长时间感到惊讶吗?接下来将违反哪些主要服务?在下面让我们知道您的想法!
