12月19日消息 據(jù)路透社報道,2013年夏天,雅虎推行一個新項目來保障用戶密碼,同時宣布放棄舊有的安全性不佳的MD5加密方案。希望通過這一舉措更好地保障用戶密碼安全。
然而為時已晚,一切來得太遲了。同年八月份黑客入侵雅虎盜取了超過十億條賬戶信息,賬戶密碼和個人信息一并在泄露之列。失竊信息如此之大堪稱歷史之最。而雅虎三年之后才察覺到這此數(shù)據(jù)失竊,并在上周對外公布。
攻擊的時間的巧合可能看上去只是雅虎運(yùn)氣不好。但MD5加密的缺點早在十年前就已為黑客和安全專家知曉。相比其他采用“哈希”(hashing)算法的加密,MD5更容易被破解。
早在雅虎后知后覺的前五年,也即2008年,卡內(nèi)基梅隆大學(xué)的軟件工程研究所通過美國政府資助的漏洞警報系統(tǒng)向安全專業(yè)人員發(fā)出公共警告:MD5應(yīng)被視為已被破解的加密方式,不適合繼續(xù)使用。
根據(jù)五名雅虎前雇員和外部安全專家的說法,雅虎因單方面?zhèn)戎貥I(yè)務(wù)發(fā)展而導(dǎo)致了輕視安全問題。如果雅虎及時采用了更強(qiáng)的加密方案,那么即使后來黑客侵入了雅虎網(wǎng)絡(luò),所造成的破壞也會遠(yuǎn)遠(yuǎn)小于當(dāng)下。
網(wǎng)絡(luò)公司TrustedSec LLC的首席執(zhí)行官大衛(wèi)·肯尼迪(David Kennedy)說:“MD5被認(rèn)為在2013年之前就已經(jīng)過時了。 大多數(shù)公司在那之后都開始使用更安全的哈希算法。”不過他并未指出具體公司名稱。
而雅虎直到被攻擊時仍在使用MD5加密,最終一代網(wǎng)絡(luò)巨人為它忽視安全付出了代價。
雅虎在給路透社的一份聲明中表示:“在20多年的歷史中,雅虎一直專注于安全領(lǐng)域的投資以保護(hù)我們的用戶。自2012年來,公司在安全領(lǐng)域投資超過2.5億美元。”
只看業(yè)務(wù) ,輕視安全
然而內(nèi)部人士的說法卻與聲明有異。據(jù)雅虎安全部門前員工透露,安全團(tuán)隊提出的包括強(qiáng)加密在內(nèi)的新安保措施經(jīng)常被高層拒絕,理由是開支過高。并且領(lǐng)導(dǎo)層似乎認(rèn)為安全問題不足以有那么高的優(yōu)先級來占用資金。
囊中羞澀從內(nèi)部角度反映了互聯(lián)網(wǎng)領(lǐng)域金融斗爭的激烈。雅虎的收入和利潤在2008年達(dá)到峰值,之后便一路下跌。而同時谷歌、Facebook和其他后起之秀已經(jīng)逐漸搶占了消費(fèi)者互聯(lián)網(wǎng)業(yè)務(wù)。
“當(dāng)業(yè)務(wù)好時,安全上的事就很容易做。業(yè)務(wù)不好時,安全領(lǐng)域的經(jīng)費(fèi)也被削減。”杰里米亞·格羅斯曼(Jeremiah Grossman)說。他曾在1999年至2001年任職于雅虎安全團(tuán)隊。
雅虎使用過時的弱加密釀成大禍,并不意味著采用先進(jìn)算法的強(qiáng)加密就可以高枕無憂。沒有任何系統(tǒng)能夠保證絕對安全。目前黑客已經(jīng)成功攻破比MD5更先進(jìn)的加密技術(shù)。LinkedIn和AOL這些互聯(lián)網(wǎng)公司也曾受到過黑客入侵,只不過損失不像雅虎那么嚴(yán)重。
“這種事可能發(fā)生在任何大公司頭上。”世界銀行前安全經(jīng)理和安全行業(yè)執(zhí)行官湯姆·凱勒曼(Tom Kellermann)說。凱勒曼現(xiàn)任投資公司Strategic Cyber Ventures的首席執(zhí)行官,他對雅虎足足用了幾年才發(fā)現(xiàn)自己遭受了攻擊并不感到驚訝。“黑客經(jīng)常有能力潛伏多年,神不知鬼不覺地行動。”他說。
或許事情可能更糟?外界尚不清楚2013年除了雅虎之外是否還有其他大互聯(lián)網(wǎng)公司也在使用MD5加密,以及是否還有其他公司被入侵。谷歌、Facebook和微軟沒有立即對路透社就此的詢問作出回應(yīng)。
據(jù)另一位前雅虎安全專家講,既是在公司業(yè)務(wù)迅速增長時,安全措施仍然落后于時代。因為相對于安全,公司更專注于讓系統(tǒng)表現(xiàn)跟的上業(yè)務(wù)的增長。
后來,郁悶無為的高級安全人員紛紛離開,剩下的人獲得經(jīng)費(fèi)批準(zhǔn)的機(jī)會進(jìn)一步下降。
雅虎拒絕對其具體安全措施置評,只是表示它有定期舉辦網(wǎng)絡(luò)安全攻防演練并開展“Bug Bounty”。“Bug Bounty”是一種安全漏洞獎勵計劃,公司懸賞獎金,給那些能發(fā)現(xiàn)系統(tǒng)漏洞并上報給公司的人。
兩次刷新泄露記錄
今年秋天絕對是雅虎的“多事之秋”。就在最近這次承認(rèn)數(shù)據(jù)泄露三個月前,雅虎披露了一項發(fā)生在2014年的網(wǎng)絡(luò)攻擊,稱有五億賬戶受到影響。先是五億,后是十億,雅虎兩次刷新了人類最大規(guī)模數(shù)據(jù)泄露的記錄。
在上周這則消息傳出之后,美國聯(lián)邦調(diào)查員和立法者表示,他們正在對雅虎的安全實踐進(jìn)行調(diào)查。而原本計劃以48億美元收購雅虎互聯(lián)網(wǎng)業(yè)務(wù)的Verizon也在尋求重新談判。
據(jù)雅虎前員工表示,公司的安全問題在梅耶爾上任之前就已存在,在更換新掌門之后也不見好轉(zhuǎn)。有兩名工作人員稱多年來雅虎一直受到俄羅斯黑客的攻擊。
2014年雅虎聘請亞歷克斯·斯塔莫斯(Alex Stamos)擔(dān)任安全主管。斯塔莫斯和他的團(tuán)隊因其在網(wǎng)絡(luò)安全領(lǐng)域的作為為人所知,此舉被認(rèn)為是雅虎開始重視安全的信號。隨后安全人員在2015年發(fā)現(xiàn)一個隱藏在雅虎郵件系統(tǒng)的程序,該程序監(jiān)視用戶郵件內(nèi)容。當(dāng)時安全人員大為震驚,以為是俄羅斯黑客所為。但事實證明,監(jiān)視不假,監(jiān)者卻搞錯了。這個程序原來是美國情報機(jī)構(gòu)和互聯(lián)網(wǎng)公司合作的產(chǎn)物。這之后不久斯塔莫斯和他一些員工便離開了雅虎,留下了更加混亂的攤子。
上周,除了披露發(fā)生在2013年的史上最大規(guī)模數(shù)據(jù)失竊案,雅虎還表示有人訪問了其專有計算機(jī)代碼,以了解如何偽造“cookie”,通過此手段能夠繞過密碼訪問賬戶。并且雅虎認(rèn)為這些活動同2014年入侵是同一伙黑客所為。
網(wǎng)絡(luò)安全公司Trail of Bits的首席執(zhí)行官丹·吉多(Dan Guido)形象地描述這一切:“他們鑿了個洞,由此窺探一切。”
周四,德國的網(wǎng)絡(luò)安全機(jī)構(gòu)批評雅虎未能采用適當(dāng)?shù)募用芗夹g(shù),并建議德國網(wǎng)民使用其他電子郵箱服務(wù)。