雅虎  · 信息安全

雅虎5亿用户信息泄露,两年前的事现才发现,正常吗?

这是两年前的事情,而雅虎于今年8月才发现,核实用户数据也花了近一个月时间。这正常吗?正常。因为网络信息数据经过层层转手才会流通在黑市上,发生问题很难查到源头,因此打击难度很大。

 |  科技天天在线

美国时间周四下午2点30分,美国互联网公司雅虎创造了史上最大单一网站信息遭窃的纪录。其发布公告证实:至少5亿用户的账户信息在2014年遭黑客盗取。这些泄露的信息数据包括账户名称、电子邮箱地址、电话号码、出生日期及部分账号的安全问题和回答。不仅如此,读取账户资料的加密密码也被窃取。吓屎宝宝了!

庆幸的是,支付卡数据、银行账户信息,以及特定密码并未被盗。

雅虎一直都是信息泄露大户

这是两年前的事情,而雅虎于今年8月才发现,核实用户数据也花了近一个月时间。今年8月份,一名自称为“Peace”的黑客以3个比特币的价格(约1860美元)出售疑似2亿雅虎用户账号信息。而雅虎于美国时间周四下午才证实,且发现用户数据远不是2亿份,是5亿份!雅虎认为这是政府支持黑客所为,“现有调查证据显示该政府、黑客,现阶段并不在雅虎网络中”。

往回追溯,大家会发现,雅虎一直以来都是信息泄露大户。2012年,雅虎就曾遭遇过一次信息泄露,事件导致黑客团体成功下载了45.3万份未加密的用户名和密码。

去年,雅虎上的用户信息似乎也被泄露过一次。雅虎怀疑一个政府支持的黑客正对其一个账号进行攻击,于是发起了一个项目专门用来检测和通知用户安全状况。不包括正在进行中的此次事故调查,约有1万用户已经因此类攻击被通知。

出售核心业务或受重创

当前,雅虎虽以电邮方式知会受影响客户,并采取措施保障用户,包括使非加密安全问题与答案失效等举措,确保受影响帐户的安全,但此事或让正在出售核心业务的雅虎受重创。

据悉,经过长时间的竞拍及谈判,雅虎今年7月以48.3亿美元现金将其网络核心资产出售给威瑞森通信(Verizon)。如果合并成功,威瑞森通信将把雅虎的搜索、电邮、通信及广告业务与旗下以44亿美元收购的美国在线的移动视频业务进行整合,获取在无线网络业务以外的收入源。而此次被窃账户正属于雅虎的网络核心资产。

受事件影响,雅虎股票午盘下跌0.3%至44.02美元,Verizon股价反而上升1%至52.39美元。随着此次事件的曝光,Verizon表示将重新对雅虎的收购进行评估。

树大招风!黑客爱攻击大型互联网公司

面对雅虎数据泄露事件,相关专业人士发表了一些看法:由于黑客爱攻击大型互联网公司,因此大型互联网公司应注重网络安全防护。

安全牛主编李少鹏认为,像雅虎这样的大型互联网公司更需要注重网络安全防护。“雅虎如果能够逃脱攻击才是怪事,越大的互联网公司其实越容易招黑客进攻”,“一旦能够渗透进去,黑客将能获得巨量信息,也能获得巨大影响力”。

不过,亚信安全TSG产品管理副总经理刘政平表示,很多大型互联网公司都在一定程度上轻视了网络安全建设,或者只重视生产网不重视办公网的防护,导致黑客有机可乘。“黑客往往以社交攻击的方式进入办公网络,然后以此为跳板渗透进生产网,从而获取海量的用户数据。”

刘政平坦言,“静态被动的安全策略已经无法抵御动态多变的黑客攻击了,而且对网络安全的关注,也不能只关注web应用漏洞,互联网公司的安全防护一定要立体。”

来自360补天漏洞平台负责人白健称,网络黑产的链条已经很完整,分工精细复杂,公开售卖账户信息正变得越来越普遍。因为网络信息数据经过层层转手才会流通在黑市上,发生问题很难查到源头,因此打击难度很大。同时,用比特币这样的去中心化的数字货币进行交易,也不易被查出。(间接得知,雅虎两年后才发现自己的用户数据被盗,还不知道是谁盗的,太正常了!)

侧面反映出,黑帽子的生存空间在被压缩。之前卖漏洞攻击工具,而现在只能卖风险更高、价值更低的个人信息数据。

数据泄露快成新常态?

其实,数据泄露快成为互联网安全问题发生的常态了。

去年10月,网易邮箱被曝存在大量用数据泄露。有媒体报道称,不少iPhone手机用户反馈,自己使用网易邮箱绑定AppleID的手机已被锁,并被远程擦除数据。

今年6月,大麦网也有用户声称数据泄露并遭遇诈骗,而随后大麦网称,网站遭遇撞库,将对用户损失进行赔偿。

只是这次,雅虎创造了史上最大单一网站信息遭窃的纪录。在账户信息遭窃的历史上,只有俄国黑客2014年窃取12亿账户信息大于此次事件规模,但那是从数百个网站窃取的。就单一网站信息遭窃而言,雅虎稳坐第一。在此事件之前排名前三位的单一网站用户信息泄露事件分别是MySpace的3.6亿、Linkedln的1.67亿,以及Ebay的1.45亿。

一招防数据被“卖”

上述各大数据显示,个人隐私数据正面临越来越大的泄露风险,需要政府、相关企业重视,并着手解决这一问题。

期间,大家可通过一招,减少或降低隐私信息被“卖”次数:注册时,不要填入过多的个人信息,也尽量不要把其他互联网服务账号设置为相同密码。可能有人会问,密码不同记不住。别怕,老谭告诉你怎么解决。老谭的解决办法有四个:下载专门的密码记录软件;用TXT文档分类记录,然后加密;如果你没有自己的电脑或者你不想存在本地,就可以放在邮箱里(这样比较安全,但并不方便管理);用笔记本分类记录下来(这是最笨的办法,老谭不建议采用)。