距离上一次5亿数据泄露过去没多久,雅虎又一次让我们大吃一惊,这一次雅虎泄露的账户数量足足有10亿之多。Freebuf上周也对此事进行了报导,雅虎现如今的表情差不多应该是这样的:
来自纽约时报的消息,安全公司InfoArmor的CIO Andrew Komarov这两天向媒体透露,雅虎泄露的这10亿数据,早在去年8月份就已经在暗网出售了,售价30万美金。不过上周此事件曝光后,雅虎立即发出公告要求用户重置密码,现在这份数据的价格已经降至2万美元。
就Verizon透露,目前公司已经与警方和政府展开合作,配合调查。雅虎在官方声明中提到:
“我们相信此次事件应该是某未经授权的第三方所为,他们在2013年8月窃取了超10亿用户信息。”“这跟今年9月22日曝光的那起事件没有什么关系。”
InfoArmor发现,去年8月雅虎10亿泄露账户就在暗网出售,售价30万美金。在雅虎公开承认这10亿账户泄露之后,已经跌至2万美金。
据说目前已经有3名土豪购买了这10亿账户信息。其中2位是“垃圾邮件专业户”,另一位支付了30万美金的买家基本可以认定是间谍组织,据InfoArmor所说其目的是掌握整个数据库。
雅虎表示今年11月时才第一次意识到账号被盗——还是由一个黑客提供的被盗信息。而且那个时候他们正在处理5亿数据被盗事件。
这次10亿账户被盗似乎是用不同手法达成的,雅虎目前还没有查出数据窃取是具体通过何种手段完成的。
安全公司InfoArmor早在今年9月的时候就宣称找到一份泄露的数据库,并且还表示这个数据库就是雅虎的——是通过hackers-for-hire服务拿到的。
但是雅虎当时并未对此发表任何评论,外界也就无从知晓这份数据是否可靠。
Komarov表示,之所以没有直接去找雅虎,是“因为如果是通过中间人来联系,这位互联网巨头瞧不上这些安全公司”,而且他还表示根本就不信任雅虎自己去调查数据被窃事件的可靠性。
Andrew Komarov还说:
我在今年年初就已经获得了雅虎数据库的一份Copy。盗窃雅虎数据的是黑客团队“group E”,来自东欧,通过三种隐蔽渠道售卖数据,至少其中一名买家可能是有政府背景的人。
泄露的数据库包括用户的个人信息、联系方式、邮件信息、感兴趣的东西、旅行计划,还有智能终端的关键信息。
和上一次5亿邮箱泄露不同的是,这一次的10亿账户泄露可能真的毁灭了用户的隐私,而且早在几年前你还不知情的情况下就已经完全毁灭了。
InfoArmor将他们的发现告知了美国、澳大利亚、英国以及几个欧洲国家的公安。据说这些被盗数据中有15万个美国国家政府以及军方账号,这些账号的后缀都带有.gov或是.mil,可谓”matter of national security.”。
毕竟,这些被盗数据可能会让那些别有用心的买家迅速掌握美国政府成员的邮箱。
数据被盗的确是个很大的悲剧,然而当被盗数据还很容易破解的事情,情况就更难堪了。是的,你没有看错。雅虎直到这次的泄露事件发生之前,存储用户数据使用的加密算法都是MD5。
众所周知,MD5算法十分的脆弱,互联网上存在各种免费/付费的MD5加密/解密网站,短短几秒就能完成。来看看国外专家是怎么评价雅虎的泄露。
来自AgileBits的安全专家,Jeffrey Goldberg说:
其MD5哈希是否被加盐依然是个迷,因为雅虎在其声明中没有提及这一关键信息。这样的做法无疑将减少很多使用MD5带来的风险。
先不论雅虎用的MD5,SHA1还是SHA256,最重要的是雅虎是否添加过盐值。因为完全没有理由使用没有添加盐值的哈希数。
Ty Miller(一家悉尼安全公司的董事)说:
MD5哈希算法已经被认为是不安全的加密算法,早20年前就已经被玩坏了。
MD5碰撞在1996年的时候发现,发展于2005年。我认为像雅虎这种大公司使用MD5这种过时的加密算法的做法是欠考虑的,它给用户的承诺就是保护用户的数据不会泄露。
Goldberg曾在2012年LinkedIn泄露事件中指责没有在hash里加盐,他将这件事与雅虎的数据泄露联系起来。有兴趣的可以看看(传送门):
针对LinkedIn,用了MD5还是SHA1算法可能都无所谓,而是他喵的根本没有添加盐值。就像我在2012年曾辩称,LinkedIn使用未加盐的哈希是不负责任的,这句话现在对雅虎也是适用的,如果他们的哈希确实是没有加盐的话。
在这次泄露的10亿账户中,除了100万雅虎用户的姓名、密码、生日、手机号,泄露的数据库还包括备份电子邮件地址,甚至包括用于重置密码的安全问题和答案——关键某些安全问题和回答是还是未加密的。
所以,雅虎和我们强烈建议用户们尽快重置密码以及对应的安全问题。
当然,如果你在其它地方使用了相同的密码以及安全问题,也一起改了吧。
博客地址:http://blog.yoqi.me/?p=1374
这篇文章还没有评论