今日凌晨,雅虎官方发布公告,确认该公司在2014年时曾遭黑客入侵,入侵导致超过5亿账户资料泄露。这些泄露的数据包括账户名称、电子邮箱地址、电话号码、出生日期以及部分账号的安全问题以及回答。而且,读取账户资料的加密密码也被窃取。
雅虎声称,黑客入侵案件发生在2014年。今年8月,雅虎对外表示,正在调查这一案件。当时,一名自称为“Peace”的黑客以3个比特币的价格(约1860美元)出售疑似2亿雅虎用户账号信息。后经雅虎今日证实,至少5亿个用户账号相关信息已经被盗。他们给予的建议是,可能受此事件影响的用户应该更改密码,同时取消其安全问题及答案。
雅虎同时表示,支付卡数据、银行账户信息以及特定密码并未被盗,否则,事件的影响会更大。
数据泄露事件已经波及到了雅虎之类的大型互联网公司。安全牛主编李少鹏认为,像雅虎这样的大型互联网公司更需要注重网络安全防护。“雅虎如果能够逃脱攻击才是怪事,越大的互联网公司其实越容易招黑客进”,“攻一旦能够渗透进去,黑客将能获得巨量信息,也能获得巨大影响力”。
华盟网负责人MAX也认为,很多大型互联网公司都在一定程度上轻视了网络安全建设,或者只重视生产网不重视办公网的防护。黑客往往以社交攻击的方式进入办公网络,然后以此为跳板渗透进生产网,从而获取海量的用户数据。“静态被动的安全策略已经无法抵御动态多变的黑客攻击了,而且对网络安全的关注,也不能只关注web应用漏洞,互联网公司的安全防护一定要是立体的”,刘政平说。
来自360补天漏洞平台负责人白健称,网络黑产的链条已经很完整,分工精细复杂,公开售卖账户信息正变得越来越普遍。因为网络信息数据经过层层转手才会流通在黑市上,发生问题很难查到源头,因此打击难度很大。同时,用比特币这样的去中心化的货币进行交易,也不易被查出。
白健认为,这也从一个侧面反映出,黑帽子的生存空间在被压缩,之前卖漏洞攻击工具,而现在只能卖风险更高价值更低的个人信息数据。
为什么2014年的攻击,雅虎时隔两年才承认?连线互联网安全公司---长亭科技创始人陈宇森:
陈宇森:黑客攻击它如果真的来做的话手段都比较隐秘,很多时候真的是到数据在网上开始流通了才知道自己当时被黑了。像当年一些开房数据一样,很多时候企业被黑的时候都感觉不到,出了问题才发现其实已经被人搞了。他泄露的数据包括用户名、邮箱,还有一些比较重要的数据,像是一些用户的密保问题和答案,这部分问题比较大。一般密码是用了各种不同的方法加密,他说那个(英)应该用一些加密的算法来做,所以应该密码被人反推出来也是有可能的,因为我也没有见到数据,不知道它做加密做到什么程度,但是密码问题答案好像是泄露了,然后现在雅虎就是对所有登陆上去的用户都强制去修改密码,修改密保 问题答案之类的。
很多中国用户认为此次泄露和我们没关系,因为已经不用雅虎很多年,我们也需要改问题和密码吗?
陈宇森:多年前没有雅虎服务的时候,这个还说到用户习惯上的问题,比如说一个人他可能用几个邮箱密码都差不多,或者就一个密码。多年前,你有一个雅虎账号现在泄露了,通过关联分析,黑客现在其实也都很聪明的嘛,他会去拿这套账号密码去撞你别的东西。比如说你邮箱虽然不用了,但是你可能这个邮箱作为一个账号,同样的密码你还登陆别的服务,很少改的。就是说这种情况下的话,你还是有可能对之前的账户安全造成一些威胁的。所以就建议如果说大家觉得那个泄露的那套账号密码自己还有什么地方在用,最好也改一下。
5亿用户信息被泄露,雅虎是不是应该对此负责?
陈宇森:这种东西你防不胜防的,你只能说努力去做好,但是真的出了问题我觉得它是要负责任,但这个责任怎么定性,其实很多人可能不知道这种攻击能有厉害。所以觉得它就是做了,毕竟它密码也是加密了,不像之前国内有的厂商被黑了之后,它的密码都是明文泄露。就是它至少密码做了一定的加密,然后它密保问题没有做加密,这个其实就比较蠢。没什么可推卸的,但就说明其实攻防之间的不对等还是比较大的,就真的是有那种比较厉害的黑客组织盯上谁的话,想幸免比较难。
攻防之间非常不对等,网络安全领域总有高人在,拥有众多用户数据的公司有什么办法能够防患于未然吗?
陈宇森:我们现在已经做了挺多公司了,最近还刚好有三家大的证券公司已经签下来了,目前在国内我们能碰到一些真正对用户隐私非常关注的客户都会请我们做一些比较高级的深度测试,来帮他们提前发现问题,而且现在公司也有些产品可以说部署在整个企业的内网。过去大家都把防护堆在一个点上,做一个单点防护,防护被黑客突破或者绕过了,你后面数据被拖走什么的都没有感知了,那我们现在想法就是把一个安全防护真真做到企业内网去,就是当真的有人黑你的内网想要偷数据,你可以做到一定的感知,不要说从头到尾被人黑的都不知道。
PEACE很有名,屡次作案,但是为什么警方找不到他?
陈宇森:攻守不对称一样,就是说你真正的很厉害的组织,他其实是很注意隐藏自己的行踪的。做一些跳板的话,多跳几层,用不同的vpn,这个真的是要想溯源其实难度非常大,攻击已经发生了,你再想去追一些蛛丝马迹就很难,但除非你说在攻击的过程中你去监控到这个事,你就一步一步去做做看,甚至说放一个诱饵怎么样想把他追踪回去,这个可能性还大一些。
其实,数据泄露已经快成为了互联网安全问题发生的常态。去年10月,网易邮箱被曝存在大量用数据泄露。有媒体报道称,不少iPhone手机用户反馈,自己使用网易邮箱绑定AppleID的手机已经被锁,并被远程擦除数据。今年6月,大麦网也有用户声称数据泄露并遭遇诈骗,而随后大麦网称,网站遭遇撞库,将对用户损失进行赔偿。
不论是互联网公司遭遇拖库还是撞库,个人隐私数据正面临越来越大的泄露风险。刘政平表示,个人在注册互联网服务时,不要填入过多的个人信息,也尽量不要把其他互联网服务账号设置为相同密码。