雅虎!亂劈僅僅點擊一次就造成了歷史上最大的數據泄露
你知道魚叉式網絡釣魚是歷史上最大的數據泄露背后唯一的秘密武器嗎?
這是真的,因為一名雅虎員工成為了一次簡單的網絡釣魚攻擊的受害者,并點擊了一個錯誤的鏈接,讓黑客在公司內部網絡中站穩了腳跟。
你可能熟悉網絡釣魚攻擊,試圖竊取用戶憑證或財務數據;然而,Spear網絡釣魚是一種有針對性的網絡釣魚形式,攻擊者誘騙員工或供應商提供遠程訪問憑據或打開包含漏洞或有效負載的惡意附件。
以下是雅虎的大規模數據泄露是如何追溯到人為錯誤的,以及誰是這次黑客攻擊的幕后主謀。
周三,美國政府指控兩名俄羅斯間諜(Dmitry Dokuchaev和Igor Sushchin)和兩名犯罪黑客(Alexsey Belan和Karim Baratov)與2014年雅虎黑客攻擊案有關,該黑客入侵了約5億雅虎用戶賬戶。
雖然起訴書提供了2014年雅虎黑客攻擊的細節,但FBI官員最近對俄羅斯聯邦安全局(FSB)的兩名官員如何在2014年初雇傭兩名黑客獲得雅虎的初步訪問權給出了新的見解。
以下是雅虎黑客如何發起的:
這次黑客攻擊始于2014年初,一封名為“魚叉式網絡釣魚”(Spear Phishing)的電子郵件發給了雅虎的“半特權”員工,而不是公司高管。
雖然目前尚不清楚有多少雅虎員工是此次攻擊的目標,以及黑客發送了多少電子郵件,但只要一名員工點擊惡意附件或鏈接,攻擊者就可以直接訪問雅虎的內部網絡。
俄羅斯間諜雇傭網絡罪犯入侵雅虎服務器;他們是怎么做到的。
進入后,已經在FBI頭號通緝黑客名單上的亞歷克賽·貝蘭開始在網絡周圍搜索,據FBI稱,他發現了兩個關鍵資產:
- 雅虎的用戶數據庫(UDB)– 一個包含所有雅虎用戶個人信息的數據庫。
- 賬戶管理工具– 用于編輯數據庫的管理工具。
Belan使用文件傳輸協議(FTP)下載了雅虎數據庫,其中包含用戶名、電話號碼、安全問題和答案,更糟糕的是,還有密碼恢復電子郵件和每個雅虎帳戶獨有的加密值。
恢復電子郵件和獨特的加密值使Belan和同事Baratov能夠訪問俄羅斯間諜Dokuchaev和Sushchin要求的某些用戶的帳戶。
由于賬戶管理工具不允許對用戶名進行簡單的文本搜索,黑客開始根據他們的恢復電子郵件地址識別目標。
一旦被識別,黑客們就使用了被盜的加密值,稱為“不“為特定用戶帳戶生成偽造的訪問cookie,讓FSB代理和Belan都可以訪問用戶的電子郵件帳戶,而不需要任何密碼。
根據聯邦調查局的數據,這些cookie在2015年至2016年間被多次生成,用于訪問大約5億個賬戶中的“6500多個雅虎賬戶”。
俄羅斯間諜鎖定的受害者:
起訴書稱,在其他外國網絡郵件和互聯網相關服務提供商中,俄羅斯間諜訪問了雅虎賬戶,這些賬戶屬于:
- 俄羅斯副主席的助手。
- 俄羅斯內政部的一名官員。
- 在俄羅斯體育部工作的教練。
- 俄羅斯記者。
- 與俄羅斯接壤的國家的官員。
- 美國政府工作人員。
- 瑞士比特幣錢包公司的員工。
- 一名美國航空公司工作人員。
FBI特工約翰·貝內特在新聞發布會上表示,雅虎于2014年就黑客事件首次與FBI聯系,并在調查過程中成為“偉大的合作伙伴”。
然而,該公司在2016年12月花了兩年時間公布了數據泄露的細節,并建議數億客戶更改密碼。
周二,巴拉托夫被多倫多警察局逮捕,而貝拉和兩名聯邦安全局官員則在俄羅斯。美國已要求將這三人全部移交面臨指控,但美國與俄羅斯沒有引渡條約。
