来自纽约时报的消息,安全公司InfoArmor的CIO Andrew Komarov这两天向媒体透露,雅虎泄露的这10亿数据,早在去年8月份就已经在暗网出售了,售价30万美金。不过上周此事件曝光后,雅虎立即发出公告要求用户重置密码,现在这份数据的价格已经降至2万美元。 就Verizon透露,目前公司已经与警方和政府展开合作,配合调查。雅虎在官方声明中提到: “我们相信此次事件应该是某未经授权的第三方所为,他们在2013年8月窃取了超10亿用户信息。”“这跟今年9月22日曝光的那起事件没有什么关系。” 你造吗?泄露的10亿个账户已经被坏人用来做坏事了!InfoArmor发现,去年8月雅虎10亿泄露账户就在暗网出售,售价30万美金。在雅虎公开承认这10亿账户泄露之后,已经跌至2万美金。 据说目前已经有3名土豪购买了这10亿账户信息。其中2位是“垃圾邮件专业户”,另一位支付了30万美金的买家基本可以认定是间谍组织,据InfoArmor所说其目的是掌握整个数据库。 雅虎表示今年11月时才第一次意识到账号被盗——还是由一个黑客提供的被盗信息。而且那个时候他们正在处理5亿数据被盗事件。这次10亿账户被盗似乎是用不同手法达成的,雅虎目前还没有查出数据窃取是具体通过何种手段完成的。 安全公司InfoArmor早在今年9月的时候就宣称找到一份泄露的数据库,并且还表示这个数据库就是雅虎的——是通过hackers-for-hire服务拿到的。但是雅虎当时并未对此发表任何评论,外界也就无从知晓这份数据是否可靠。 Komarov表示,之所以没有直接去找雅虎,是“因为如果是通过中间人来联系,这位互联网巨头瞧不上这些安全公司”,而且他还表示根本就不信任雅虎自己去调查数据被窃事件的可靠性。
Andrew Komarov还说:
InfoArmor将他们的发现告知了美国、澳大利亚、英国以及几个欧洲国家的公安。据说这些被盗数据中有15万个美国国家政府以及军方账号,这些账号的后缀都带有.gov或是.mil,可谓”matter of national security.”。 毕竟,这些被盗数据可能会让那些别有用心的买家迅速掌握美国政府成员的邮箱。 都2013年了,还在用MD5。你似不似撒?数据被盗的确是个很大的悲剧,然而当被盗数据还很容易破解的事情,情况就更难堪了。是的,你没有看错。雅虎直到这次的泄露事件发生之前,存储用户数据使用的加密算法都是MD5。众所周知,MD5算法十分的脆弱,互联网上存在各种免费/付费的MD5加密/解密网站,短短几秒就能完成。来看看国外专家是怎么评价雅虎的泄露。 来自AgileBits的安全专家,Jeffrey Goldberg说:
Ty Miller(一家悉尼安全公司的董事)说:
你怎么可以连盐都不加?Goldberg曾在2012年LinkedIn泄露事件中指责没有在hash里加盐,他将这件事与雅虎的数据泄露联系起来。有兴趣的可以看看(传送门):
当务之急在这次泄露的10亿账户中,除了100万雅虎用户的姓名、密码、生日、手机号,泄露的数据库还包括备份电子邮件地址,甚至包括用于重置密码的安全问题和答案——关键某些安全问题和回答是还是未加密的。 所以,雅虎和我们强烈建议用户们尽快重置密码以及对应的安全问题。 当然,如果你在其它地方使用了相同的密码以及安全问题,也一起改了吧。 *参考来源:thehackernews、theregister,FB小编bimeover编译 |