警钟敲响,史上最大规模的单一网站泄露事件发生了!!
这一次,惨遭毒手的是雅虎,美国时间周四下午2点30分,雅虎正式证实其用户信息遭窃,影响账户数目至少为5亿。
令人震惊的是,这次盗窃并非近日发生,而是在2014年底发生,黑客盗取的信息可能包括用户名、电子邮件地址、家庭住址、电话号码、出生日期、某些密码、以及安全问题和答案等。
此前,虽然盗窃信息早就曝光,但是雅虎一直没有对该事件进行过“官方认定”。
可能稍微值得庆幸的一点是:
雅虎表示,支付卡数据、银行账户信息以及特定密码并未被盗,因为这些信息并未储存在被盗的这一部分系统里。
为了补救,雅虎发布了一系列声明和提醒:
- 我们正在通知潜在受影响的用户,雅虎发送给的用户的邮件内容可在https://yahoo.com/security-notice-content上看到。
- 我们正在要求潜在受影响的用户及时更改他们的密码,并采取备用帐户验证手段。
- 未加密的安全问题和答案不能被用来访问帐户。
- 我们建议自2014年以来所有没有修改过密码的用户修改密码。
- 我们将继续加强系统检测和防止未经授权用户访问。
- 在这件事上,我们正与执法部门紧密合作。
雅虎鼓励用户遵循以下安全建议:
- 如果其他账户有使用相同或类似信息,请及时更改您的密码和安全问题;
- 检查您的帐户的可疑登录;
- 请小心点击任何主动的沟通,如要求填入个人信息或链接至其他网站。
- 避免点击链接或从可疑的邮件下载附件。
幕后真凶究竟是谁
今年夏天,已有臭名昭著的黑客 Peace_of_Mind (以下简称 Peace )在暗网上叫卖雅虎被盗的这些信息,他此前还在暗网上兜售过 LinkedIn、MySpace、Tumblr、Fling.com 和 VK.com 的数据!!!
关于Peace的详细信息,读者可以参考雷锋网(公众号:雷锋网)之前的一篇报道:《暗网地下交易:你的密码只值一分钱》。
Peace在暗网黑市 TheRealDeal 上对这些数据的描述大致为:这些数据包含了2012年以来注册的用户信息。他在暗网上将这些数据标价3比特币(目前约为1800美元)。
根据Peace提供的样本,泄露的数据中包含用户名、MD5哈希密码、出生日期、邮箱、国籍等。由于密码是经过MD5加密的,而MD5哈希加密的密码可很容易的被破解,所以雅虎用户的密码就相当于以明文的方式展现出来,由此可能造成的危害可想而知。
但是,疑点重重的是,Peace 可能不是直接盗取雅虎数据的幕后凶手。
外媒Softpedia在今年8月份对Peace 展开了采访,Peace 表示:“玛丽莎·梅耶任职时,我并不知道,但在2012年,泄露 LinkedIn、vk、Tembr 等数据的同一俄罗斯黑客组织也泄露了雅虎的数据库,我售卖的数据几乎来源于这一组织。”
雅虎公司已经知悉此次黑市售卖,并且启动了内部调查。雅虎认为,盗取这些信息的黑客有政府资助背景,但是目前没有证据表明,该黑客仍在雅虎网络中。
黑客和暗网黑市在闷声发大财
令人尴尬的是,Peace 及暗网黑市 TheRealDeal 还在闷声发大财。
我们再来科普下暗网和暗网黑市 TheRealDeal 。
搜索引擎里面所搜索到的内容大部分都是在表面层,表面层网络的特性是允许任何用户访问该网络,比如新闻页面,广告页面,Facebook 个人主页等。
除了表面层的数据以外,剩下的网络数据都处于在Deep Web 里。Deep Web 的特性是访问该数据需要特定的权限。有些页面需要特定的cookie才能访问,除了 Cookie 以外还有各种各样的权限限制种类,比如有些服务器你需要特定的IP才能访问,通过公司VPN访问到的内网环境等。Dark Net 也就是我们俗称的暗网,也可以叫做影子网(shadow web)。这一类网络层属于互联网最隐私的部分。
暗网黑市属于整个互联网最阴暗的一块区域,在这个上面什么东西都会出售。
TheRealDeal 就是暗网市场中的一个,约在2015年3月份诞生。此前,它的主要业务是向黑客兜售零日攻击手段,类似于丝绸之路(SilkRoad)及其大量拥趸,TheRealDeal 使用 Tor 匿名技术加密连接,交易则使用比特币,以隐藏买家、卖家、管理员的身份。
目前市面上的其它网站只售卖基本的低级黑客工具以及泄露的财务信息,而 TheRealDeal 的组建者则表示,希望吸引高端黑客在这里售卖零日漏洞、源代码,甚至提供黑客雇佣服务。这些商品都会很吃香,不过在一些情况下,它们都是独家售卖,并且是一次性销售。
据Softpedia的报道,TheRealDeal 市场上的其它黑客受到了Peace的灵感启发,如今,许多暗网卖家正积极寻求将产品向媒体公开。
因为,由于媒体大肆报道,Peace售卖雅虎数据的销售大幅提升。一位卖家透露,Peace单售卖LinkedIn数据就赚取了约5万美元。Peace表示“比这个金额略高一点,其它数据一起共赚了6.5万美元。”
Softpedia认为,如果真是如此,Yahoo数据的泄露以及大肆报道将帮助Peace在两三个月内净赚超过10万美元。
今天,雷锋网编辑登录了TheRealDeal ,发现其正在遭受攻击,为什么有种喜闻乐见的感觉,吼吼吼。
回顾:史上最大单一网站信息遭窃的纪录
再回到前面,为什么称此次雅虎数据遭窃是”史上最大“?
原来,在账户信息遭窃的历史上,只有俄国黑客2014年窃取12亿账户信息大于此次事件规模,但那是从数百个网站窃取的信息。
如果就单一网站信息遭窃来论,雅虎确实打破了这让人尴尬的历史记录。在此事件之前,排名前3位的单一网站用户信息泄露事件分布是 MySpace 的3.6亿、Linkedln 的1.67亿以及 Ebay 的1.45亿。
很不巧,有两起大案都和Peace有关。
来简单回顾一下。
Linkedln “1.67亿”案
今年5月,Peace在网络黑市上叫卖1.17亿个电子邮箱地址及密码的组合,售价为5比特币,也就是2300万美元左右。
科技媒体Motherboard从一家名叫Leaked Source的已泄露数据付费搜索引擎那里获得了部分泄露的数据——约100万条登录信息。Leaked Source更是称其已经获得了总计1.67亿条的泄露的登录信息。Motherboard也表示,经过联系其中的一名受害者详细比对后可以确认,Peace手上的登录信息中,至少有一条可以确认是真实的。
已泄露数据搜索引擎HaveIBeenPwned.com的负责人、网络安全专家特洛伊 亨特表示,他已经联系上了其他两名受害人并确认了细节。不过他表示,他目前尚未得到全部泄露信息来升级他的数据库。
MySpace “3.6亿”案
今年6月,Peace宣称已拿到MySpace用户的3.6亿封邮件和密码。
MySpace数据被盗走的时间不明,但Peace和一个 LeakedSource(被入侵数据的有偿搜索引擎)的操作员说法一致,且后者称有证据表明,数据泄露发生的原因是过去曾有一个未被报告的漏洞。
Peace 和 LeakedSource 都未提供被盗数据的样例。为验证这些泄露的数据是否正确, Motherboard网站将曾在MySpace注册过的三位员工以及两个公司员工的朋友的邮箱地址提交给LeakedSource ,结果 LeakedSource 正确地回复了对应邮箱的密码。
Ebay “1.45亿”案
2014年5月,eBay确认2014年2月底3月初发生大规模用户数据泄露事故,约1.45亿用户数据遭泄露,这些数据包括用户名、电子邮件地址、家庭地址、电话号码和生日等隐私信息,但eBay表示用户密码经过加密处理,黑客并不容易获得,而用户的信用卡数据并未泄露。
本文作者:李勤
本文转自雷锋网禁止二次转载,原文链接