雅虎10億賬戶數據去年就在暗網以30萬美金出售,3名土豪已經出手
距離上一次5億數據泄露過去沒多久,雅虎又一次讓我們大吃一驚,這一次雅虎泄露的賬戶數量足足有10億之多。Freebuf上周也對此事進行了報導,雅虎現如今的表情差不多應該是這樣的:
來自紐約時報的消息,安全公司InfoArmor的CIO Andrew Komarov這兩天向媒體透露,雅虎泄露的這10億數據,早在去年8月份就已經在暗網出售了,售價30萬美金。不過上周此事件曝光後,雅虎立即發出公告要求用戶重置密碼,現在這份數據的價格已經降至2萬美元。
就Verizon透露,目前公司已經與警方和政府展開合作,配合調查。雅虎在官方聲明中提到:
「我們相信此次事件應該是某未經授權的第三方所為,他們在2013年8月竊取了超10億用戶信息。」「這跟今年9月22日曝光的那起事件沒有什麼關係。」
你造嗎?泄露的10億個賬戶已經被壞人用來做壞事了!
InfoArmor發現,去年8月雅虎10億泄露賬戶就在暗網出售,售價30萬美金。在雅虎公開承認這10億賬戶泄露之後,已經跌至2萬美金。
據說目前已經有3名土豪購買了這10億賬戶信息。其中2位是「垃圾郵件專業戶」,另一位支付了30萬美金的買家基本可以認定是間諜組織,據InfoArmor所說其目的是掌握整個資料庫。
雅虎表示今年11月時才第一次意識到賬號被盜——還是由一個黑客提供的被盜信息。而且那個時候他們正在處理5億數據被盜事件。
這次10億賬戶被盜似乎是用不同手法達成的,雅虎目前還沒有查出數據竊取是具體通過何種手段完成的。
安全公司InfoArmor早在今年9月的時候就宣稱找到一份泄露的資料庫,並且還表示這個資料庫就是雅虎的——是通過hackers-for-hire服務拿到的。
但是雅虎當時並未對此發表任何評論,外界也就無從知曉這份數據是否可靠。
Komarov表示,之所以沒有直接去找雅虎,是「因為如果是通過中間人來聯繫,這位互聯網巨頭瞧不上這些安全公司」,
而且他還表示根本就不信任雅虎自己去調查數據被竊事件的可靠性。
Andrew Komarov還說:
我在今年年初就已經獲得了雅虎資料庫的一份Copy。
盜竊雅虎數據的是黑客團隊「group E」,來自東歐,通過三種隱蔽渠道售賣數據,至少其中一名買家可能是有政府背景的人。
泄露的資料庫包括用戶的個人信息、聯繫方式、郵件信息、感興趣的東西、旅行計劃,還有智能終端的關鍵信息。
和上一次5億郵箱泄露不同的是,這一次的10億賬戶泄露可能真的毀滅了用戶的隱私,而且早在幾年前你還不知情的情況下就已經完全毀滅了。
InfoArmor將他們的發現告知了美國、澳大利亞、英國以及幾個歐洲國家的公安。據說這些被盜數據中有15萬個美國國家政府以及軍方賬號,這些賬號的後綴都帶有.gov或是.mil,可謂」matter of national security.」。
畢竟,這些被盜數據可能會讓那些別有用心的買家迅速掌握美國政府成員的郵箱。
都2013年了,還在用MD5。你似不似撒?
數據被盜的確是個很大的悲劇,然而當被盜數據還很容易破解的事情,情況就更難堪了。是的,你沒有看錯。雅虎直到這次的泄露事件發生之前,存儲用戶數據使用的加密演算法都是MD5。
眾所周知,MD5演算法十分的脆弱,互聯網上存在各種免費/付費的MD5加密/解密網站,短短几秒就能完成。來看看國外專家是怎麼評價雅虎的泄露。
來自AgileBits的安全專家,Jeffrey Goldberg說:
其MD5哈希是否被加鹽依然是個迷,因為雅虎在其聲明中沒有提及這一關鍵信息。這樣的做法無疑將減少很多使用MD5帶來的風險。
先不論雅虎用的MD5,SHA1還是SHA256,最重要的是雅虎是否添加過鹽值。因為完全沒有理由使用沒有添加鹽值的哈希數。
Ty Miller(一家悉尼安全公司的董事)說:
MD5哈希演算法已經被認為是不安全的加密演算法,早20年前就已經被玩壞了。
MD5碰撞在1996年的時候發現,發展於2005年。我認為像雅虎這種大公司使用MD5這種過時的加密演算法的做法是欠考慮的,它給用戶的承諾就是保護用戶的數據不會泄露。
你怎麼可以連鹽都不加?
Goldberg曾在2012年LinkedIn泄露事件中指責沒有在hash里加鹽,他將這件事與雅虎的數據泄露聯繫起來。有興趣的可以看看(傳送門):
針對LinkedIn,用了MD5還是SHA1演算法可能都無所謂,而是他喵的根本沒有添加鹽值。就像我在2012年曾辯稱,LinkedIn使用未加鹽的哈希是不負責任的,這句話現在對雅虎也是適用的,如果他們的哈希確實是沒有加鹽的話。
當務之急
在這次泄露的10億賬戶中,除了100萬雅虎用戶的姓名、密碼、生日、手機號,泄露的資料庫還包括備份電子郵件地址,甚至包括用於重置密碼的安全問題和答案——關鍵某些安全問題和回答是還是未加密的。
所以,雅虎和我們強烈建議用戶們儘快重置密碼以及對應的安全問題。
當然,如果你在其它地方使用了相同的密碼以及安全問題,也一起改了吧。
*參考來源:
thehackernews
、
theregister
,FB小編bimeover編譯,轉載請註明來自FreeBuf.COM
※使用WireShark生成地理位置數據地圖(含演示視頻)
※動手打造跨設備、無需同步的密碼管理器
※秒爆十萬字典:奇葩技巧快速枚舉「一句話後門」密碼
※英國發布國家安全戰略年度報告,網路安全將成重中之重
※沙盒版TOR瀏覽器上線,這次的「面具」還能輕易揭開嗎?
TAG:FreeBuf |
※土豪出家,撒錢40萬,遭5000多人瘋搶
※中國買蘇35 300萬美元,卡達買F15 3億美元,誰土豪
※農村老伯家中有輛40年汽車,土豪出手400萬,拒接賣車
※大叔拔出一條重達400斤「人型根」,土豪出價200萬!
※美國軍售額400億美元,「土豪」卡達買了170億
※他花1萬美元購買了一片廢墟,三年後中國土豪出價500萬美元
※27歲維密天使超模嫁給63歲土豪,婚禮就花了740萬人民幣!
※頭疼!中國土豪2.3億買10巨星,坐擁38人賣11人賺8千萬
※日本超豪華列車票價七萬元,已預訂到2019年,土豪也買不到票
※夫婦釣上400斤大魚,當地土豪卻欲出200萬購買
※頭疼!中國土豪2.3億狂買10巨星,坐擁38人,賣11人賺8千萬!
※土豪還是很多的!8848鈦金手機兩年時間賣了24.8萬台
※老伯家汽車停放40年,土豪出400萬,也無法買回家
※中國160萬名千萬富豪坐擁165萬億元財富 這些省份土豪最多
※440萬人民幣,土豪老闆連續第6年標下日本金槍魚王
※12年更名13次!足壇最奇葩球隊終有家,從3億土豪變8千萬屌絲卻換成功
※捕到135歲「土豪龜」,路人出價30萬,但巨龜的眼神讓人心痛
※印度土豪花70億人民幣建710平27層豪宅,全家只有6個人
※張繼科真土豪:坐擁千萬豪宅,手錶80萬,一雙拖鞋6000元!