深扒!雅虎5億賬户遭竊,2億賬户信息暗網黑市叫賣

雷鋒網 於 24/09/2016 發表 收藏文章
警鐘敲響,史上最大規模的單一網站泄露事件發生了!!

這一次,慘遭毒手的是雅虎,美國時間週四下午2點30分,雅虎正式證實其用户信息遭竊,影響賬户數目至少為5億。

令人震驚的是,這次盜竊並非近日發生,而是在2014年底發生,黑客盜取的信息可能包括用户名、電子郵件地址、家庭住址、電話號碼、出生日期、某些密碼、以及安全問題和答案等。

此前,雖然盜竊信息早就曝光,但是雅虎一直沒有對該事件進行過“官方認定”。

可能稍微值得慶幸的一點是:

雅虎表示,支付卡數據、銀行賬户信息以及特定密碼並未被盜,因為這些信息並未儲存在被盜的這一部分系統裏。

為了補救,雅虎發佈了一系列聲明和提醒:

引用
  • 我們正在通知潛在受影響的用户,雅虎發送給的用户的郵件內容可在https://yahoo.com/security-notice-content上看到。
  • 我們正在要求潛在受影響的用户及時更改他們的密碼,並採取備用帳户驗證手段。
  • 未加密的安全問題和答案不能被用來訪問帳户。
  • 我們建議自2014年以來所有沒有修改過密碼的用户修改密碼。
  • 我們將繼續加強系統檢測和防止未經授權用户訪問。
  • 在這件事上,我們正與執法部門緊密合作。

雅虎鼓勵用户遵循以下安全建議:

引用
  • 如果其他賬户有使用相同或類似信息,請及時更改您的密碼和安全問題;
  • 檢查您的帳户的可疑登錄;
  • 請小心點擊任何主動的溝通,如要求填入個人信息或鏈接至其他網站。
  • 避免點擊鏈接或從可疑的郵件下載附件。





幕後真兇究竟是誰

今年夏天,已有臭名昭著的黑客 Peace_of_Mind (以下簡稱 Peace )在暗網上叫賣雅虎被盜的這些信息,他此前還在暗網上兜售過 LinkedIn、MySpace、Tumblr、Fling.com 和 VK.com 的數據!!!


關於Peace的詳細信息,讀者可以參考雷鋒網之前的一篇報道:《暗網地下交易:你的密碼只值一分錢》

Peace在暗網黑市 TheRealDeal 上對這些數據的描述大致為:這些數據包含了2012年以來註冊的用户信息。他在暗網上將這些數據標價3比特幣(目前約為1800美元)。



根據Peace提供的樣本,泄露的數據中包含用户名、MD5哈希密碼、出生日期、郵箱、國籍等。由於密碼是經過MD5加密的,而MD5哈希加密的密碼可很容易的被破解,所以雅虎用户的密碼就相當於以明文的方式展現出來,由此可能造成的危害可想而知。


但是,疑點重重的是,Peace 可能不是直接盜取雅虎數據的幕後兇手。



外媒Softpedia在今年8月份對Peace 展開了採訪,Peace 表示:“瑪麗莎·梅耶任職時,我並不知道,但在2012年,泄露 LinkedIn、vk、Tembr 等數據的同一俄羅斯黑客組織也泄露了雅虎的數據庫,我售賣的數據幾乎來源於這一組織。”

雅虎公司已經知悉此次黑市售賣,並且啟動了內部調查。雅虎認為,盜取這些信息的黑客有政府資助背景,但是目前沒有證據表明,該黑客仍在雅虎網絡中。





黑客和暗網黑市在悶聲發大財

令人尷尬的是,Peace 及暗網黑市 TheRealDeal 還在悶聲發大財。

我們再來科普下暗網和暗網黑市 TheRealDeal 。

搜索引擎裏面所搜索到的內容大部分都是在表面層,表面層網絡的特性是允許任何用户訪問該網絡,比如新聞頁面,廣告頁面,Facebook 個人主頁等。

除了表面層的數據以外,剩下的網絡數據都處於在Deep Web 裏。Deep Web 的特性是訪問該數據需要特定的權限。有些頁面需要特定的cookie才能訪問,除了 Cookie 以外還有各種各樣的權限限制種類,比如有些服務器你需要特定的IP才能訪問,通過公司VPN訪問到的內網環境等。Dark Net 也就是我們俗稱的暗網,也可以叫做影子網(shadow web)。這一類網絡層屬於互聯網最隱私的部分。

暗網黑市屬於整個互聯網最陰暗的一塊區域,在這個上面什麼東西都會出售。

TheRealDeal 就是暗網市場中的一個,約在2015年3月份誕生。此前,它的主要業務是向黑客兜售零日攻擊手段,類似於絲綢之路(SilkRoad)及其大量擁躉,TheRealDeal 使用 Tor 匿名技術加密連接,交易則使用比特幣,以隱藏買家、賣家、管理員的身份。

目前市面上的其它網站只售賣基本的低級黑客工具以及泄露的財務信息,而 TheRealDeal 的組建者則表示,希望吸引高端黑客在這裏售賣零日漏洞、源代碼,甚至提供黑客僱傭服務。這些商品都會很吃香,不過在一些情況下,它們都是獨家售賣,並且是一次性銷售。

據Softpedia的報道,TheRealDeal 市場上的其它黑客受到了Peace的靈感啟發,如今,許多暗網賣家正積極尋求將產品向媒體公開。

因為,由於媒體大肆報道,Peace售賣雅虎數據的銷售大幅提升。一位賣家透露,Peace單售賣LinkedIn數據就賺取了約5萬美元。Peace表示“比這個金額略高一點,其它數據一起共賺了6.5萬美元。”

Softpedia認為,如果真是如此,Yahoo數據的泄露以及大肆報道將幫助Peace在兩三個月內淨賺超過10萬美元。



今天,雷鋒網(搜索“雷鋒網”公眾號關注)編輯登錄了TheRealDeal ,發現其正在遭受攻擊,為什麼有種喜聞樂見的感覺,吼吼吼。






回顧:史上最大單一網站信息遭竊的紀錄

再回到前面,為什麼稱此次雅虎數據遭竊是”史上最大“?

原來,在賬户信息遭竊的歷史上,只有俄國黑客2014年竊取12億賬户信息大於此次事件規模,但那是從數百個網站竊取的信息。

如果就單一網站信息遭竊來論,雅虎確實打破了這讓人尷尬的歷史記錄。在此事件之前,排名前3位的單一網站用户信息泄露事件分佈是 MySpace 的3.6億、Linkedln 的1.67億以及 Ebay 的1.45億。

很不巧,有兩起大案都和Peace有關。


來簡單回顧一下。

Linkedln “1.67億”案

今年5月,Peace在網絡黑市上叫賣1.17億個電子郵箱地址及密碼的組合,售價為5比特幣,也就是2300萬美元左右。
科技媒體Motherboard從一家名叫Leaked Source的已泄露數據付費搜索引擎那裏獲得了部分泄露的數據——約100萬條登錄信息。Leaked Source更是稱其已經獲得了總計1.67億條的泄露的登錄信息。Motherboard也表示,經過聯繫其中的一名受害者詳細比對後可以確認,Peace手上的登錄信息中,至少有一條可以確認是真實的。

已泄露數據搜索引擎HaveIBeenPwned.com的負責人、網絡安全專家特洛伊 亨特表示,他已經聯繫上了其他兩名受害人並確認了細節。不過他表示,他目前尚未得到全部泄露信息來升級他的數據庫。

MySpace “3.6億”案

今年6月,Peace宣稱已拿到MySpace用户的3.6億封郵件和密碼。

MySpace數據被盜走的時間不明,但Peace和一個 LeakedSource(被入侵數據的有償搜索引擎)的操作員説法一致,且後者稱有證據表明,數據泄露發生的原因是過去曾有一個未被報告的漏洞。

Peace 和 LeakedSource 都未提供被盜數據的樣例。為驗證這些泄露的數據是否正確, Motherboard網站將曾在MySpace註冊過的三位員工以及兩個公司員工的朋友的郵箱地址提交給LeakedSource ,結果 LeakedSource 正確地回覆了對應郵箱的密碼。

Ebay “1.45億”案

2014年5月,eBay確認2014年2月底3月初發生大規模用户數據泄露事故,約1.45億用户數據遭泄露,這些數據包括用户名、電子郵件地址、家庭地址、電話號碼和生日等隱私信息,但eBay表示用户密碼經過加密處理,黑客並不容易獲得,而用户的信用卡數據並未泄露。


資料來源:雷鋒網
作者/編輯:李勤

留言


請按此登錄後留言。未成為會員? 立即註冊
    快捷鍵:←
    快捷鍵:→