雅虎5亿帐号信息被盗,遭多名美国参议员质问
发布日期:2016-09-29上周人类获悉了可能是有史以来、已知最大型的网络入侵事件:雅虎5亿帐号信息被盗。以雅虎的体量和本次数据被盗的信息量而言,这在整个科技圈都算是个大灾难。
雅虎上周已经就此事发布了公告,也给出了相应的解决方案。不过就在昨天,数名美国参议员要求雅虎公布更多有关本次数据被盗事件的细节,以及后续将如何处理的细节,因为这件事或许对整个美国社会而言都存在影响。
雅虎5亿帐号被盗事件回顾
上周四,雅虎发布公告称,黑客窃取了至少5亿用户账户数据——不过这起事件实际是发生在2014年的。按照雅虎的说法,雅虎也是在今年8月份对另外一起数据泄露事件发起调查的时候,才发现2014年5亿帐号被盗这一事实的。
早在今年8月初,国外媒体就报道称,一名黑客在暗网出售2亿雅虎用户账户数据。雅虎于是对此展开调查,最终发布报告称,黑客出售的这批数据是无效的,但与此同时雅虎决定针对其系统展开更为广泛的调查。路透社在上周的文章中提到,雅虎也是在8月报告之后才发现2014年攻击证据的——也就是本次5亿数据被盗事件。
这次事件一时之间占据大量媒体版面头条。雅虎就此事强调了两点,其一此次事件疑似为“国家背景”的攻击者所为,另外并未泄露如明文密码、银行卡信息这类最具价值的数据。雅虎的公告是这么说的:
“我们已经确认,2014年晚些时间,公司网络的部分用户账户信息被盗,或为具国家背景的攻击者所为。被窃信息可能包括用户名、电子邮件、电话号码、出生日期、哈希密码(大部分bcrypt),以及某些加密或未加密的安全提问和回答。”
“我们仍在持续调查中,被盗信息并不包括明文密码、支付卡数据,或银行账户信息;支付卡数据和银行账户信息并不存在于受影响的系统中。基于本次调查,雅虎认为至少5亿用户账户相关信息被窃取;并无证据表明,相应具国家背景的攻击者当前仍存在于雅虎网络中。雅虎目前正就此事与执法机关进行紧密配合。”
数名参议员正在介入
来自TechCrunch的消息,上周五,也就是雅虎宣布数据被窃后的1天,来自弗吉尼亚州的参议员Mark Warner就给证券交易委员会发了一封信,请求就雅虎处理被窃事件的问题展开调查,以及雅虎是否已经让投资者(尤其是Verizon)全面知悉其中细节。
Warner表示,雅虎及其CEO Marissa Mayer早就知道本次数据被窃事件,或至少可能已经知道——雅虎早在7月份的时候就已经收到有关用户数据在暗网出售的消息(应该是指先前2亿数据在暗网出售)。他特别谈到今年7月份,Verizon宣布以48.3亿美元收购雅虎核心资产,而Warner几乎可以确认,雅虎向Verizon隐瞒了数据被窃的情况。
这也是Warner请求美国证监会对雅虎发起调查的重要原因,所以前两天国外媒体甚至有消息说,此次事件可能会对Verizon的收购产生影响。
就在昨天,路透社报道称,6名美国民主党参议员向雅虎CEO Mayer本人发信,在信中直截了当地质问了Mayer一些问题,主要就是有关雅虎处理本次事故的具体方法的。
这6名参议员要求Mayer给出本次事件发生的具体时间点,以及质问雅虎为什么在2年以后才检测到数据被盗,还有最重要的一点:为什么雅虎等了2个月才向用户发出数据被盗的警报!
比预想得还要严重
不少美国人已经开始担心,雅虎5亿用户账户被盗事件甚至可能对许多美国人的日常生活产生影响。来自Bitcrack Cyber Security的安全研究人员最近就发起了一个检测项目:主要是为了了解有多少第三方域名在使用雅虎的企业邮件服务——就类似于许多企业将自家的企业邮箱挂靠在QQ邮箱一样。
结果发现,大约有57.2万域名使用雅虎的企业邮箱,绝大部分是美国公司。也就是说这些企业的内部邮箱用的就是Yahoo Mail服务。
Bitcrack Cyber Security首席技术官Dimitri Fousekis说:“很明显,有了被盗的登录信息,攻击者有足足2年时间进入@yahoo.com账户。不仅如此,属于第三方企业和组织的企业邮箱也在此列。无论对人,还是对企业,影响都是相当深远的。”
目前雅虎尚未就参议员的质问发表任何官方评论。雅虎仅在上周表示,当前已经采取的措施包括,通知受影响的用户;请求受影响用户修改密码,以及采用账户认证的进一步方案;令未加密的账户安全提问和回答无效化;推荐所有自2014年以来没有修改过密码的用户修改密码。
相关资讯:
5亿雅虎账户被盗,账户信息可能包含电子邮件地址、电话号码、出生日期、哈希密码,甚至包含密码和安全问题。雅虎账户泄露事件打破了Myspace 4.27亿账户被盗的记录,是今年迄今为止账号被盗规模最大的信息泄露事件。
北京时间8月3凌晨消息,雅虎正在就一桩疑似黑客案展开调查,内容是其2亿个用户账号可能已被窃取,并在黑市网络上被出售。
继LinkedIn、MySpace..之后,雅虎某团体约6500万Tumblr账户数据在黑市热卖
本月早些时候Tumblr曾透露,某第三方团体曾在2013年被雅虎收购前,大量的邮箱账号和密码已被黑客获取。近日,一名叫peace_of_mind的黑客在暗网黑市The Real Deal,正大肆兜售Tumblr的数据,定价为0.4255比特币(约合225美元)。
新提出的SMTP严格传输安全(SMTP STS)能解决以上两个问题。它赋予了邮件服务提供商告知客户端应用TLS的途径,还能提示客户端验证证书,告知客户端TLS连接不能安全建立的时候会发生什么状况。