深挖雅虎5億數(shù)據(jù)泄露事故
日前雅虎正式承認其遭遇史上最嚴重數(shù)據(jù)泄露事故,其中至少5億用戶賬戶數(shù)據(jù)被泄露。
雅虎數(shù)據(jù)泄露事故發(fā)生在2014年年底,不過直到“最近調(diào)查”出來時該公司才正式承認。雅虎沒有提供事件的具體時間表,但FlashPoint證實最近發(fā)現(xiàn)2億雅虎賬戶在深網(wǎng)出售。
“在2016年8月2日,F(xiàn)lashpoint注意到在TheRealDeal Marketplace由‘peace_of_mind’張貼的廣告——出售2億雅虎賬戶,”FlashPoint公司網(wǎng)絡(luò)犯罪情報高級分析師Vitali Kremez表示,“peace_of_mind也是此前FlashPoint報道銷售被泄露MySpace和LinkedIn賬戶憑證的同一個人。這個人是TheRealDeal Marketplace聯(lián)合創(chuàng)始人,根據(jù)其過去的活動以及客戶的反饋,此人有著極高的信譽度。”
根據(jù)其他新聞報道,在深網(wǎng)雅虎賬戶出售讓雅虎公司開始調(diào)查潛在的海量數(shù)據(jù)泄露事故。在雅虎數(shù)據(jù)泄露事故之前,LinkedIn和Dropbox也遭遇數(shù)據(jù)泄露事故,導(dǎo)致用戶電子郵件和信息泄露。
Blink Digital Security公司高級安全研究人員兼負責任Keatron Evans稱,雅虎需要提供關(guān)于此次攻擊的更多細節(jié)。“我想要知道的是雅虎什么時候發(fā)現(xiàn)這一攻擊,如果這發(fā)生在2014年,那就是說該公司在過去兩年就已經(jīng)知道攻擊事故,為什么他們花了這么長的時間才透露數(shù)據(jù)泄露事故的程度,”Evans稱,“這種緩慢的反應(yīng)可能會成為公關(guān)噩夢,并損害該公司的聲譽,這也將說明如果沒有正確的培訓和工具我們非常難以確定攻擊的根本原因,即使是發(fā)生在數(shù)月前或者數(shù)年前的攻擊事故。”
在一份聲明中,雅虎稱這次攻擊是國家資助的攻擊,但沒有指出具體國家。雅虎也試圖安撫客戶他們最有價值的數(shù)據(jù)并沒有受到影響。
“賬戶信息可能包含名字、郵件地址、電話號碼、出生日期、哈希密碼以及加密和未加密的安全提示問題及答案,”雅虎寫道,“正在進行的調(diào)查表明,泄露的信息并不包含五保戶的密碼、支付卡數(shù)據(jù)或銀行賬戶信息;支付卡數(shù)據(jù)和銀行賬戶信息沒有存儲在受影響的系統(tǒng)中。”
eSentire公司首席執(zhí)行官J. Paul Haynes稱,我們很高興看到雅虎沒有對原因下結(jié)論。
“這次數(shù)據(jù)泄露事故的時機非常奇怪,鑒于雅虎泄露的賬戶還在待售狀態(tài);然而,現(xiàn)在責怪國家資助的攻擊者有點為時過早,”Haynes稱,“如果沒有完整的案例文件,幾乎不可能對攻擊者得出結(jié)論。”
更為復(fù)雜的是,Verizon正在考慮以48億美元收購雅虎公司,該交易仍在監(jiān)管部門審查中。Verizon發(fā)言人稱該公司在上周二才得知雅虎的大型數(shù)據(jù)泄露事故,但表示Verizon對該數(shù)據(jù)泄露事故帶來的影響只有“有限的信息以及了解”。
IDT911公司主席兼創(chuàng)始人Adam Levin稱:“所有雅虎郵箱用戶必須立即更改其雅虎用戶ID及密碼,還應(yīng)該更改用于訪問其他賬戶的重復(fù)的登錄信息。我們生活在數(shù)據(jù)泄露事故無法避免的環(huán)境中,消費者應(yīng)該使用高強度密碼保護自己,在社交、金融、零售和電子郵件賬戶不要使用相同的信息,并定期更新;啟用雙因素身份驗證;始終警惕網(wǎng)絡(luò)釣魚攻擊。”
雅虎建議用戶檢查其在線賬戶是否存在任何可疑活動,更改賬戶信息,避免點擊可疑鏈接以及使用雅虎賬戶雙因素驗證工具。
FIDO聯(lián)盟執(zhí)行主管Brett McDowell表示,這應(yīng)該是對所有人的警示,單靠高強度密碼可能不夠,“網(wǎng)絡(luò)罪犯知道消費者會在網(wǎng)站和應(yīng)用使用相同的密碼,這也是為什么這些泄露的密碼憑證可能用于后續(xù)的詐騙的原因。我們需要阻止網(wǎng)絡(luò)罪犯的這種行為,唯一的方法是不要完全依靠密碼。這些數(shù)據(jù)泄露事故的頻率和嚴重程度不斷提高,這種趨勢還會繼續(xù)發(fā)展,除非我們不再依靠密碼安全,而采用強大的身份驗證機制。”
Seclore公司首席執(zhí)行官Vishal Gupta表示,這種攻擊的后果可能是災(zāi)難性的。“現(xiàn)在已經(jīng)有5億電話號碼泄露,我們不難想象這些個人信息可能被惡意利用。企業(yè)應(yīng)該采取更嚴格的安全措施以及以數(shù)據(jù)為中心的安全解決方案,因為攻擊者總是會想出創(chuàng)造性的方法來將敏感信息用于惡意目的。”
