雅虎安全漏洞 - 它是如何发生的

时间:2019-01-04 06:14:01166网络整理admin

<p>美联社旧金山 - 与俄罗斯间谍合作的俄罗斯黑客并没有立刻破解雅虎的安全性</p><p>相反,根据美国官员提供的一个帐户,他们有条不紊地在几个月的时间里深入雅虎的网络 - 也许几年允许美国官员在宣布对四名俄罗斯司法部门起诉的指控中填补了一些俄罗斯人的指控时,他们伪造了解锁许多雅虎帐户的技术骨架密钥,窃取个人信息,然后利用这些数据打入其目标使用的其他电子邮件服务</p><p>围绕2014年发生的大规模安全漏洞的空白,但雅虎直到六个月前才透露但是它没有回答为什么雅虎花了这么长时间来理解它的严肃性或为什么它等了这么久才告诉用户 - 或者Verizon正在支付450亿美元用于雅虎业务,现在受到互联网历史上最大安全漏洞的影响文件照片显示雅虎以外的一个标志加利福尼亚州桑尼维尔市总部2017年3月15日星期三,美国官员宣布对四名俄罗斯人提出指控,并描述俄罗斯黑客与俄罗斯情报官员合作闯入雅虎网络,窃取雅虎用户账户信息并最终进入其他服务被他们瞄准的个人使用(AP Photo / Marcio Jose Sanchez雅虎拒绝评论超出一份声明,感谢执法部门的努力目前还不清楚参与雅虎闯入事件的俄罗斯黑客和间谍是否也参与其他最近的黑客行为2016年选举期间民主党全国委员会发布的令人尴尬的电子邮件泄露美国情报机构此前表示,他们认为俄罗斯黑客也参与了这些违规行为,第二大违规行为“我们处于网络战中,我们的政府也没有Gartne的安全分析师Avivah Litan表示,不要吵醒并做任何事情虽然雅虎攻击已经破坏了超过5亿用户帐户,但根据起诉书,黑客似乎主要对俄罗斯和美国政府官员,俄罗斯记者以及金融公司和其他企业员工的电子邮件进行筛选感兴趣</p><p>在间谍活动中,黑客也试图通过小规模骗局赚钱</p><p>在起诉书中详述的一个诡计中,黑客被指控操纵雅虎的搜索结果,为一家销售勃起功能障碍药物的公司带来流量以换取佣金</p><p>这一违规行为是互联网历史上第二差,最有可能因雅虎花了两年时间披露最初的攻击雅虎采取更积极的措施 - 例如,要求用户更改密码,甚至到期密码并强迫用户输入新密码 - 这可能会阻止用户帐户黑客获得的一些损害2014年初初雅虎网络的初步访问,虽然目前尚不清楚如何到年底,根据起诉书,他们做了两个有价值的发现第一个是雅虎用户数据库的备份副本,截至2014年11月初它包含大量可用于重置密码并进入雅虎帐户的信息,例如电话号码,安全问题答案以及用于重置忘记密码的恢复电子邮件地址数据库还包含雅虎通常用于授权的加密扰码数据用户登录后第二个是用户数据库中编辑信息的内部工具截至2014年12月,雅虎高管和律师知道与外国政府有关联的黑客获取了一些用户的个人信息,但没有挖掘根据该公司董事会本月早些时候发布的一份报告,雅虎只是通知26位用户他们在那里可能已经采取了信息并且还与执法机构进行了磋商欺骗了我一次,欺骗了我两次黑客通过欺骗雅虎认为他们已经签约来访问用户帐户雅虎公司通常使用一些名为cookie的数据来让你保持登录帐户通过网络浏览器即使您关闭浏览器并重新启动它,这也是保持Gmail打开的方式</p><p>黑客使用恶意软件和用户数据库中的信息制作假饼干 对于雅虎来说,似乎黑客是授权用户只要用户在2014年11月初之后没有更改密码,该方法就可以工作</p><p>黑客使用这种技术来定位超过6,500个用户帐户没有什么特别想知道俄罗斯人是什么黑客说,黑客曾经在谷歌打击欺诈,现在是Shape Security的首席技术官</p><p>但它仍然看起来并不像一个聪明的少年或另一个数字防盗工作人员设计的抢劫一样糟糕在没有外国政府支持的情况下,专家们说:“中央情报局甚至无法防范其中一些人,所以我对雅虎表示同情,”利坦说:“我不知道雅虎的安全性有多好,但它确实是难以察觉这些民族国家的黑客“雅虎已经支付了惨重的价格Verizon在最初要求一美元后,为雅虎在线服务的初始购买价格提取了3.5亿美元的折扣减少925万美元的损失雅虎仍然面临数十起诉讼赚钱虽然俄罗斯情报官员只对数量有限的账户感兴趣,黑客利用雅虎的网络获取自己的经济利益除了勃起功能障碍计划,黑客还搜查信用卡信息和电子礼品卡的电子邮件帐户在雅虎宣布违规行为几周后,黑客甚至通过电子邮件帐户查找礼品卡,攻击者还搜索了电子邮件以查找朋友和同事的联系信息;此类数据使得垃圾邮件似乎来自这些朋友和同事,这使得收件人更有可能打开邮件</p><p>其他违规行为2014年的漏洞是雅虎发生的两起重大漏洞中的第二起,涉及雅虎以后至少5亿用户帐户据透露,它在2013年发现了一个单独的黑客入侵,影响了大约10亿个账户,其中包括一些在2014年遭受重创的账户周三的起诉没有解决2013年的违规行为标签:账号,马尼拉公告,mbcomph,俄罗斯黑客,雅虎安全,