本篇文章2838字,读完约7分钟
警钟响起,史上最大的单个网站泄露事件发生了!!
这次,受害者是雅虎。美国时间周四下午2点30分,雅虎正式确认其用户信息被盗,影响至少5亿个账户。
令人震惊的是,盗窃事件并不是最近发生的,而是在2014年底。被黑客窃取的信息可能包括用户名、电子邮件地址、家庭地址、电话号码、出生日期、一些密码以及安全问题和答案。
此前,尽管盗窃信息早就被曝光,但雅虎从未对此事做出“官方确认”。
或许有点谢天谢地:
雅虎表示,支付卡数据、银行账户信息和特定密码没有被盗,因为这些信息没有存储在被盗系统中。
为了补救,雅虎发布了一系列声明和提醒:
我们正在通知潜在的受影响用户,雅虎发送给用户的电子邮件内容可以在https://Yahoo/security-notification-content上看到。
我们要求潜在受影响的用户及时更改他们的密码,并采用替代的帐户身份验证方法。
未加密的安全问题和答案不能用于访问帐户。
我们建议自2014年以来没有更改过密码的所有用户都更改密码。
我们将继续加强系统检测,防止未经授权的用户访问。
在这种情况下,我们正与执法机构密切合作。
雅虎鼓励用户遵循以下安全建议:
如果其他帐户使用相同或相似的信息,请及时更改您的密码和安全问题;
检查您的帐户是否有可疑登录;
请仔细点击任何活跃的交流,如询问个人信息或链接到其他网站。
避免点击链接或从可疑邮件中下载附件。
幕后真正的凶手是谁?今年夏天,臭名昭著的黑客安心(以下简称和平)在黑暗网络上兜售雅虎窃取的信息。他以前还在黑暗网络上兜售过linkedin、myspace、tumblr、fling和vk的数据!!!
关于和平的详细信息,读者可以参考雷锋以前的报道。你的密码只值一便士。
和平对黑市上这些数据的描述大致如下:这些数据包含自2012年以来注册用户的信息。他以3个比特币(目前约为1800万美元)的价格将数据放到了暗网上。
根据和平提供的样本,泄露的数据包括用户名、md5哈希密码、出生日期、电子邮件地址、国籍等。由于密码是用md5加密的,用md5哈希加密的密码很容易被破解,雅虎用户的密码以明文显示,可能造成的危害可想而知。
然而,许多人怀疑,和平可能不是直接窃取雅虎数据背后的凶手。
今年8月,外国媒体《软儿科》采访了和平。peace说:“我不知道玛丽莎·迈耶(Marisa Meyer)何时上任,但在2012年,泄露linkedin、vk、tembr等数据的同一家俄罗斯黑客组织也泄露了雅虎的数据库。”我出售的数据几乎都来自这个组织。”
雅虎已经意识到黑市交易,并展开了内部调查。雅虎认为窃取这些信息的黑客有政府资助的背景,但没有证据表明黑客仍在雅虎的网络中。
黑客和黑网黑市正在赚大钱。尴尬,和平和现实仍然是一笔财富。
让我们来看看黑网和黑网黑市。
搜索引擎搜索的大部分内容都在表层。表层网络的特点是允许任何用户访问网络,如新闻页面、广告页面、facebook个人主页等。
除了表面数据,其余的网络数据都在深层网络中。深层网络的特点是访问这些数据需要特定的权限。有些页面需要特定的cookie才能访问,除了cookie之外,还有各种各样的权限限制,比如有些服务器需要特定的ip才能访问,内部网环境通过企业vpn访问,等等。暗网,俗称暗网,也可以称为影子网。这种网络层属于互联网最私密的部分。
黑暗网络黑市属于整个互联网最黑暗的领域,在那里一切都将被出售。
真实市场是2015年3月诞生的黑暗网络市场之一。此前,它的主要业务是向黑客出售零日攻击,类似于丝路及其众多粉丝。真实世界使用匿名技术加密连接,而比特币在交易中用来隐藏买家、卖家和管理员的身份。
目前,市场上的其他网站只出售基本的低级黑客工具和泄露的金融信息,而该网站的创始人表示,他希望吸引高端黑客出售零日漏洞、源代码,甚至在这里提供黑客雇佣服务。这些产品将非常受欢迎,但在某些情况下,它们只销售一次。
根据softpedia的说法,现实市场中的其他黑客受到了和平的鼓舞。如今,许多暗网卖家正积极寻求向媒体披露他们的产品。
因为,因为媒体的报道,和平的雅虎数据销售额有了很大的增长。据一位卖家称,和平仅通过出售linkedin数据就赚了约5万美元。和平表示,“这比这个数额略高,和其他数据加起来一共赚了6.5万美元。”
Softpedia认为,如果是这样的话,雅虎数据的泄露和广泛的报道将有助于和平在两三个月内实现超过1万美元的净利润。
今天,雷锋的编辑。搜索“雷锋”。com" public account ),并发现它正被攻击。你为什么喜欢它?
回顾:历史上最大的单个网站信息盗窃记录可以追溯到前面。你为什么称这次雅虎数据盗窃为“历史上最大的”?
最初,在账户信息被盗的历史上,2014年只有俄罗斯黑客窃取了12亿个账户信息,比此次事件的规模还要大,但这是从数百个网站上窃取的信息。
如果单个网站的信息被盗,雅虎真的打破了这一尴尬的历史记录。在此之前,排名前三的单个网站用户的信息泄露事件是myspace的3.6亿,linkedln的1.67亿和ebay的1.45亿。
不幸的是,有两个主要案例与和平有关。
让我们简单回顾一下。
linked ln“167万”案例
今年5月,和平在互联网黑市上兜售了1.17亿个电子邮件地址和密码组合,价格是5个比特币,约合2300万美元。
主板,一个科技媒体,从一个叫做泄露源的付费搜索引擎得到了一些泄露的数据——大约100万个登录信息。泄露的消息来源甚至声称,它已经获得了总计1.67亿泄露的登录信息。主板还表示,在联系其中一名受害者进行详细比较后,可以确认至少有一个和平手中的登录信息可以被确认为是真实的。
泄露数据搜索引擎的负责人特洛伊·亨特(Troy Hunt)是一名网络安全专家,他说他已经联系了另外两名受害者,并确认了细节。然而,他说他还没有得到所有泄露的信息来升级他的数据库。
MySpace“3.6亿”案例
今年6月,和平宣布从myspace用户那里获得了3.6亿封电子邮件和密码。
myspace数据被盗的时间未知,但peace同意leakedsource(入侵数据的付费搜索引擎)的一位运营商的说法,后者声称有证据表明数据泄漏是由于过去未报告的漏洞造成的。
无论是和平还是泄密来源都没有提供被盗数据的例子。为了验证这些泄露的数据是否正确,主板网站向leakedsource提交了三名在myspace注册的员工和两名员工的朋友的电子邮件地址,leakedsource正确回复了相应电子邮件的密码。
ebay“145万”案例
2014年5月,易趣证实,2014年2月底和3月初发生了一次大规模的用户数据泄露事故,约有1.45亿用户数据被泄露,包括用户名、电子邮件地址、家庭地址、电话号码和生日。然而,易趣表示,用户的密码是加密的,黑客很难获得,用户的信用卡数据也不会泄露。