周三,雅虎披露称又有10亿账户已被攻陷,起因是他们发现一起可追溯至2013年的攻击。雅虎表示这起攻击可能跟之前9月份影响5亿账户的大型攻击不是同一起事件。
雅虎表示,“根据取证专家对数据的进一步分析,我们认为一家未经授权的第三方在2013年8月窃取了跟超过10亿用户账户有关的数据。我们无法识别出跟这个盗贼相关的入侵事件。我们认为这起事件跟2016年9月22日披露的事件不同。”
被盗数据包括姓名、邮箱地址、电话号码、出生日期、哈希密码(MD5算法)以及某些加密或未加密的安全问题和答案。雅虎表示,“根据正在进行的调查来看,我们认为一个未经授权的第三方访问了我们的知识产权代码来了解如何打造cookie。外部取证专家已经识别出这些cookie所拿走并使用过的用户账户。”
雅虎此前声称受到国家黑客攻击,但并没有拿出证据来支撑。因此很多专家对此持怀疑态度并建议雅虎拿出证据来。在披露最新的这起入侵事件时,雅虎依然声称攻击是由国家黑客实施的,并且就是造成9月份攻击事件的同一个黑客。
一些安全专家认为任何一个美国的网络“对手”都有可能是幕后黑手,包括俄罗斯、中国和朝鲜。有人认为这起事件证明通过安全问题保护安全是有问题的。一旦数字身份(第一的邮箱)跟密保问题绑定,那么这些问题也会延伸到其它账户如银行账户和信用卡在线账户。
雅虎安全控制薄弱且透明度低
有专家指出,雅虎并没有公布攻击规模、范围和宽度,这种做法是草率的。打造cookie的能力实际就是后门,能够在不被察觉或难以被察觉的情况下被利用。还有业内人士认为雅虎又出现数据泄露情况也不足为奇,因为自从上次5亿用户数据被泄露以来,雅虎的安全措施并不充足。很显然雅虎所采用的防御措施没有与时俱进。首先雅虎并没有发现这次攻击,而是几年之后通过外部渠道才了解到。而被泄数据规模尚不明确,很显然雅虎需要采用更好的安全工具来监控相关行为并检测大规模入侵行为。再有,雅虎也可以广泛采用有效的加密方法,以减少将鸡蛋放到同一个篮子里所带来的风险。
还有专家对雅虎外部站点进行分析后发现多个问题,他们认为这些站点上超过四分之一的证书在2015年1月之后就没有重新颁发。专家认为在遭受大规模攻击之后更换证书对于阻止攻击者访问加密通信来讲十分重要。另外一个问题是,很多证书都使用MD5和SHA-1加密哈希算法,而这些算法被认为不再具备安全性。
这两起大规模数据泄露事件发生在雅虎同意将其核心互联网业务以48亿美元卖给电信巨头Verizon之后的几个月内。本月初,业内人士就对Verizon仍然会收购雅虎一事表示“谨慎乐观”。最新数据泄露事件发生后,Verizon尚未就是否完成收购做出评论。
另外,多名用户针对雅虎上次披露的数据泄露事件提起诉讼。用户声称雅虎没有正确阐述系统和服务的安全,而且安全专家的研究成果似乎也支撑这些说法,尤其在加密控制方面更是如此。