当前位置:首页被MD5加密坑了?雅虎大规模泄密是个咋样的悲剧 举报文章

被MD5加密坑了?雅虎大规模泄密是个咋样的悲剧

作者:admin    来源:用户投稿    时间:2016.12.21   
undefined

  网易科技讯12月19日消息 据路透社报道,2013年夏天,雅虎推行一个新项目来保障用户密码,同时宣布放弃旧有的安全性不佳的MD5加密方案。希望通过这一举措更好地保障用户密码安全。

  然而为时已晚,一切来得太迟了。同年八月份黑客入侵雅虎盗取了超过十亿条账户信息,账户密码和个人信息一并在泄露之列。失窃信息如此之大堪称历史之最。而雅虎三年之后才察觉到这此数据失窃,并在上周对外公布。

  攻击的时间的巧合可能看上去只是雅虎运气不好。但MD5加密的缺点早在十年前就已为黑客和安全专家知晓。相比其他采用“哈希”(hashing)算法的加密,MD5更容易被破解。

  早在雅虎后知后觉的前五年,也即2008年,卡内基梅隆大学的软件工程研究所通过美国政府资助的漏洞警报系统向安全专业人员发出公共警告:MD5应被视为已被破解的加密方式,不适合继续使用。

  根据五名雅虎前雇员和外部安全专家的说法,雅虎因单方面侧重业务发展而导致了轻视安全问题。如果雅虎及时采用了更强的加密方案,那么即使后来黑客侵入了雅虎网络,所造成的破坏也会远远小于当下。

  网络公司TrustedSec LLC的首席执行官大卫·肯尼迪(David Kennedy)说:“MD5被认为在2013年之前就已经过时了。 大多数公司在那之后都开始使用更安全的哈希算法。”不过他并未指出具体公司名称。

  而雅虎直到被攻击时仍在使用MD5加密,最终一代网络巨人为它忽视安全付出了代价。

  雅虎在给路透社的一份声明中表示:“在20多年的历史中,雅虎一直专注于安全领域的投资以保护我们的用户。自2012年来,公司在安全领域投资超过2.5亿美元。”

  只看业务 ,轻视安全

  然而内部人士的说法却与声明有异。据雅虎安全部门前员工透露,安全团队提出的包括强加密在内的新安保措施经常被高层拒绝,理由是开支过高。并且领导层似乎认为安全问题不足以有那么高的优先级来占用资金。

  囊中羞涩从内部角度反映了互联网领域金融斗争的激烈。雅虎的收入和利润在2008年达到峰值,之后便一路下跌。而同时谷歌、Facebook和其他后起之秀已经逐渐抢占了消费者互联网业务。

  “当业务好时,安全上的事就很容易做。业务不好时,安全领域的经费也被削减。”杰里米亚·格罗斯曼(Jeremiah Grossman)说。他曾在1999年至2001年任职于雅虎安全团队。

  雅虎使用过时的弱加密酿成大祸,并不意味着采用先进算法的强加密就可以高枕无忧。没有任何系统能够保证绝对安全。目前黑客已经成功攻破比MD5更先进的加密技术。LinkedIn和AOL这些互联网公司也曾受到过黑客入侵,只不过损失不像雅虎那么严重。

  “这种事可能发生在任何大公司头上。”世界银行前安全经理和安全行业执行官汤姆·凯勒曼(Tom Kellermann)说。凯勒曼现任投资公司Strategic Cyber Ventures的首席执行官,他对雅虎足足用了几年才发现自己遭受了攻击并不感到惊讶。“黑客经常有能力潜伏多年,神不知鬼不觉地行动。”他说。

  或许事情可能更糟?外界尚不清楚2013年除了雅虎之外是否还有其他大互联网公司也在使用MD5加密,以及是否还有其他公司被入侵。谷歌、Facebook和微软没有立即对路透社就此的询问作出回应。

  据另一位前雅虎安全专家讲,既是在公司业务迅速增长时,安全措施仍然落后于时代。因为相对于安全,公司更专注于让系统表现跟的上业务的增长。

  后来,郁闷无为的高级安全人员纷纷离开,剩下的人获得经费批准的机会进一步下降。

  雅虎拒绝对其具体安全措施置评,只是表示它有定期举办网络安全攻防演练并开展“Bug Bounty”。“Bug Bounty”是一种安全漏洞奖励计划,公司悬赏奖金,给那些能发现系统漏洞并上报给公司的人。

  

undefined

  两次刷新泄露记录

  今年秋天绝对是雅虎的“多事之秋”。就在最近这次承认数据泄露三个月前,雅虎披露了一项发生在2014年的网络攻击,称有五亿账户受到影响。先是五亿,后是十亿,雅虎两次刷新了人类最大规模数据泄露的记录。

  在上周这则消息传出之后,美国联邦调查员和立法者表示,他们正在对雅虎的安全实践进行调查。而原本计划以48亿美元收购雅虎互联网业务的Verizon也在寻求重新谈判。

  据雅虎前员工表示,公司的安全问题在梅耶尔上任之前就已存在,在更换新掌门之后也不见好转。有两名工作人员称多年来雅虎一直受到俄罗斯黑客的攻击。

  2014年雅虎聘请亚历克斯·斯塔莫斯(Alex Stamos)担任安全主管。斯塔莫斯和他的团队因其在网络安全领域的作为为人所知,此举被认为是雅虎开始重视安全的信号。随后安全人员在2015年发现一个隐藏在雅虎邮件系统的程序,该程序监视用户邮件内容。当时安全人员大为震惊,以为是俄罗斯黑客所为。但事实证明,监视不假,监者却搞错了。这个程序原来是美国情报机构和互联网公司合作的产物。这之后不久斯塔莫斯和他一些员工便离开了雅虎,留下了更加混乱的摊子。

  上周,除了披露发生在2013年的史上最大规模数据失窃案,雅虎还表示有人访问了其专有计算机代码,以了解如何伪造“cookie”,通过此手段能够绕过密码访问账户。并且雅虎认为这些活动同2014年入侵是同一伙黑客所为。

  网络安全公司Trail of Bits的首席执行官丹·吉多(Dan Guido)形象地描述这一切:“他们凿了个洞,由此窥探一切。”

  周四,德国的网络安全机构批评雅虎未能采用适当的加密技术,并建议德国网民使用其他电子邮箱服务。

好文打赏,给Ta鼓励
扫一扫用手机阅读本文
Tags:加密  坑了  雅虎  大规模  规模  泄密  是个  咋样  悲剧  
  • 相关搜索
图片推荐
    网站文章如何优化的顶级方法

    网站文章如何优化的顶级方法

    一个网站的排名可以说基本上都是靠文章的排名获取大量流量的,如果一个网站文章没有优化好,那么这个网站就会失去百分之99的流量,可以想象网站文章优化的重要性,比如我们在不认识站长之家和非凡网赚网 0839
    百度搜索:开展清理被黑新闻源专项行动

    百度搜索:开展清理被黑新闻源专项行动

    近日,有网友反映,在使用百度搜索时,在新闻垂类下输入某些关键词搜索新闻,结果页会出现非法内容。对此百度站长平台在官方微博发布声明,称该情况系部分新闻源网站被违法分子篡改,将流量导向非法网站,也就是俗称
    创业者复盘:众筹创业三个月,生鲜电商的那些坑

    创业者复盘:众筹创业三个月,生鲜电商的那些坑

    生鲜食品电商被称为电子商务领域最后一片蓝海,这将是市场容量最大、发展潜力最大、机会最多的一个领域,但同时生鲜电商也是难度最大的一个领域,因为人才储备、产品损耗、产品的标准化、冷链物流、最后一公里的配送
    京东否认优衣库“闪离”与销量有关

    京东否认优衣库“闪离”与销量有关

    CFP供图  东哥的站台并没有能留住优衣库的心。优衣库京东官方旗舰店在实际进行了1个月的营业后,宣布退出京东平台。优衣库品牌所属公司日本迅销集团表示,由于此次合作仍存在许多需要进一步探讨和完善的地方,
    美图公司今日将公布年报 股价一度大涨逾8%

    美图公司今日将公布年报 股价一度大涨逾8%

    业内人士认为,美图的大涨缘于美图AI、AR布局的概念,叠加高知名度和在受众中的高渗透率以及香港互联网个股资源的稀缺性,导致巨量资金涌入。不过也有分析人士指出,美图的剧烈震荡只是A股次新股炒作的港股翻版
    个人站长的创业新出路:细分领域的农村电商

    个人站长的创业新出路:细分领域的农村电商

    在传统门户网站被唱衰之后,我一直在想,那些曾经红红火火的个人站长们,都在忙什么?他们又将面临着怎样的改变与互联网发展趋势?  小网站正在灭亡、草根站长难活的,享受着本地最具新媒体称号的,站长群体中仍然
    “互联网+”下的华强北突围:能再造百个大疆?

    “互联网+”下的华强北突围:能再造百个大疆?

    华强北的电子市场上有上百万个品种的电子产品供商家们采购。  深圳商报记者 施平 摄  深圳商报记者 余璐 季杰  华强北这条街,兼容并包,在这里不仅能找到国内外知名品牌的数码电子商品,还能找到刚刚摆脱
    谈谈卢松松举办的YY语音逆袭大会,屌丝也有春天

    谈谈卢松松举办的YY语音逆袭大会,屌丝也有春天

    由卢松松举办的的YY分享逆袭会,在2014年12月10日的凌晨时分圆满结束了。整天分享会议讲了有四个小时,有礼品,有干货,有站长界名人,还有我们这帮苦逼的屌丝。收获了很多,也学到了很多,也与大家分享一
你是怎么知道非凡网赚网的?
  •   
  • 联系QQ 邮箱:976382653@qq.com 微信:976382653
    在线留言
    发布软文
    广告自助购
    文章调用
    常见问题
    保存到桌面