当前位置:首页被MD5加密坑了?雅虎大规模泄密是个咋样的悲剧 举报文章

被MD5加密坑了?雅虎大规模泄密是个咋样的悲剧

作者:admin    来源:用户投稿    时间:2016.12.21   
undefined

  网易科技讯12月19日消息 据路透社报道,2013年夏天,雅虎推行一个新项目来保障用户密码,同时宣布放弃旧有的安全性不佳的MD5加密方案。希望通过这一举措更好地保障用户密码安全。

  然而为时已晚,一切来得太迟了。同年八月份黑客入侵雅虎盗取了超过十亿条账户信息,账户密码和个人信息一并在泄露之列。失窃信息如此之大堪称历史之最。而雅虎三年之后才察觉到这此数据失窃,并在上周对外公布。

  攻击的时间的巧合可能看上去只是雅虎运气不好。但MD5加密的缺点早在十年前就已为黑客和安全专家知晓。相比其他采用“哈希”(hashing)算法的加密,MD5更容易被破解。

  早在雅虎后知后觉的前五年,也即2008年,卡内基梅隆大学的软件工程研究所通过美国政府资助的漏洞警报系统向安全专业人员发出公共警告:MD5应被视为已被破解的加密方式,不适合继续使用。

  根据五名雅虎前雇员和外部安全专家的说法,雅虎因单方面侧重业务发展而导致了轻视安全问题。如果雅虎及时采用了更强的加密方案,那么即使后来黑客侵入了雅虎网络,所造成的破坏也会远远小于当下。

  网络公司TrustedSec LLC的首席执行官大卫·肯尼迪(David Kennedy)说:“MD5被认为在2013年之前就已经过时了。 大多数公司在那之后都开始使用更安全的哈希算法。”不过他并未指出具体公司名称。

  而雅虎直到被攻击时仍在使用MD5加密,最终一代网络巨人为它忽视安全付出了代价。

  雅虎在给路透社的一份声明中表示:“在20多年的历史中,雅虎一直专注于安全领域的投资以保护我们的用户。自2012年来,公司在安全领域投资超过2.5亿美元。”

  只看业务 ,轻视安全

  然而内部人士的说法却与声明有异。据雅虎安全部门前员工透露,安全团队提出的包括强加密在内的新安保措施经常被高层拒绝,理由是开支过高。并且领导层似乎认为安全问题不足以有那么高的优先级来占用资金。

  囊中羞涩从内部角度反映了互联网领域金融斗争的激烈。雅虎的收入和利润在2008年达到峰值,之后便一路下跌。而同时谷歌、Facebook和其他后起之秀已经逐渐抢占了消费者互联网业务。

  “当业务好时,安全上的事就很容易做。业务不好时,安全领域的经费也被削减。”杰里米亚·格罗斯曼(Jeremiah Grossman)说。他曾在1999年至2001年任职于雅虎安全团队。

  雅虎使用过时的弱加密酿成大祸,并不意味着采用先进算法的强加密就可以高枕无忧。没有任何系统能够保证绝对安全。目前黑客已经成功攻破比MD5更先进的加密技术。LinkedIn和AOL这些互联网公司也曾受到过黑客入侵,只不过损失不像雅虎那么严重。

  “这种事可能发生在任何大公司头上。”世界银行前安全经理和安全行业执行官汤姆·凯勒曼(Tom Kellermann)说。凯勒曼现任投资公司Strategic Cyber Ventures的首席执行官,他对雅虎足足用了几年才发现自己遭受了攻击并不感到惊讶。“黑客经常有能力潜伏多年,神不知鬼不觉地行动。”他说。

  或许事情可能更糟?外界尚不清楚2013年除了雅虎之外是否还有其他大互联网公司也在使用MD5加密,以及是否还有其他公司被入侵。谷歌、Facebook和微软没有立即对路透社就此的询问作出回应。

  据另一位前雅虎安全专家讲,既是在公司业务迅速增长时,安全措施仍然落后于时代。因为相对于安全,公司更专注于让系统表现跟的上业务的增长。

  后来,郁闷无为的高级安全人员纷纷离开,剩下的人获得经费批准的机会进一步下降。

  雅虎拒绝对其具体安全措施置评,只是表示它有定期举办网络安全攻防演练并开展“Bug Bounty”。“Bug Bounty”是一种安全漏洞奖励计划,公司悬赏奖金,给那些能发现系统漏洞并上报给公司的人。

  

undefined

  两次刷新泄露记录

  今年秋天绝对是雅虎的“多事之秋”。就在最近这次承认数据泄露三个月前,雅虎披露了一项发生在2014年的网络攻击,称有五亿账户受到影响。先是五亿,后是十亿,雅虎两次刷新了人类最大规模数据泄露的记录。

  在上周这则消息传出之后,美国联邦调查员和立法者表示,他们正在对雅虎的安全实践进行调查。而原本计划以48亿美元收购雅虎互联网业务的Verizon也在寻求重新谈判。

  据雅虎前员工表示,公司的安全问题在梅耶尔上任之前就已存在,在更换新掌门之后也不见好转。有两名工作人员称多年来雅虎一直受到俄罗斯黑客的攻击。

  2014年雅虎聘请亚历克斯·斯塔莫斯(Alex Stamos)担任安全主管。斯塔莫斯和他的团队因其在网络安全领域的作为为人所知,此举被认为是雅虎开始重视安全的信号。随后安全人员在2015年发现一个隐藏在雅虎邮件系统的程序,该程序监视用户邮件内容。当时安全人员大为震惊,以为是俄罗斯黑客所为。但事实证明,监视不假,监者却搞错了。这个程序原来是美国情报机构和互联网公司合作的产物。这之后不久斯塔莫斯和他一些员工便离开了雅虎,留下了更加混乱的摊子。

  上周,除了披露发生在2013年的史上最大规模数据失窃案,雅虎还表示有人访问了其专有计算机代码,以了解如何伪造“cookie”,通过此手段能够绕过密码访问账户。并且雅虎认为这些活动同2014年入侵是同一伙黑客所为。

  网络安全公司Trail of Bits的首席执行官丹·吉多(Dan Guido)形象地描述这一切:“他们凿了个洞,由此窥探一切。”

  周四,德国的网络安全机构批评雅虎未能采用适当的加密技术,并建议德国网民使用其他电子邮箱服务。

好文打赏,给Ta鼓励
扫一扫用手机阅读本文
Tags:加密  坑了  雅虎  大规模  规模  泄密  是个  咋样  悲剧  
  • 相关搜索
图片推荐
    只要一个平台 其实做外卖小本创业很简单

    只要一个平台 其实做外卖小本创业很简单

    我有个不错的朋友,一直热衷于餐饮外卖行业,自己也在某餐饮上市公司当着高管,年收入也不错,但是最近他告诉我准备花个十几万拿下安徽省某市某餐饮品牌的代理权,当时我就惊呆了,花十几万买个代理权,是不是脑袋有
    一样的红色网站模板风格,不一样的视觉体验

    一样的红色网站模板风格,不一样的视觉体验

    如果说到红色的网站,你第一反应会想起那些网站呢?天猫?京东?红色鲜艳、喜庆,非常容易使人印象深刻,企业在建设网站时,适当的使用红色,或许也可以带来不一样的效果!  耐思尼克建站宝盒提供的上千套精美企业
    2014主机点评网改版后 新推”优惠券搜索”工具

    2014主机点评网改版后 新推”优惠券搜索”工具

    主机点评网(www.hostucan.cn)继今年改版后,又推出一超便利、实惠的站长工具优惠券搜索。通过优惠券搜索工具,站长可获得目前最热门的主机促销信息和其他建站优惠资讯。究竟如何使用新版建站服务优
    深度:TCL全球铁粉节透露了什么信号?

    深度:TCL全球铁粉节透露了什么信号?

    狂送千万壕礼,销售额将超8亿,今年TCL O2O首次为粉丝在线上线下齐造节,这是一场活动形式最多样,商品种类最丰富,打折总量史无前例的粉丝节日,红包和福利齐飞让用户尽享折扣;网红直播互动让全球粉丝边看
    郑恺:由P开始一发不可收拾的创业和投资

    郑恺:由P开始一发不可收拾的创业和投资

    我一直在做自己喜欢做的事,这点很重要,要不然你坚持不下来。演了十年的戏,郑恺终于红了,因为一个屁。后来有记者问过他对于一屁成名有什么感想,郑恺的答案是:好歹我还有个屁,很多人奋斗半辈子连个屁都不是。 
    Ping服务,快速收录你的原创文章

    Ping服务,快速收录你的原创文章

    一直以来都觉得百度没法很好的判断哪篇文章是原创首发的,因为存在这一情况,小网站写了原创,大网站转载,spider去小网站不频繁,百度会先收录大网站,之后收录小网站这样会让我觉得百度会认为最先收录的网站
    业内遥遥领先 小猪cms微餐饮v8.0震撼上线

    业内遥遥领先 小猪cms微餐饮v8.0震撼上线

    小猪cms针对餐饮行业的微信应用已经开发到了第八个版本,该版本的微信餐饮功能毫不夸张的说是整个业界最震撼、最接地气、最实用的应用。新版本的餐饮功能有以下特性:  1、连锁店自动定位  自动根据粉丝的位
你是怎么知道非凡网赚网的?
  •   
  • 联系QQ 邮箱:976382653@qq.com 微信:976382653
    在线留言
    发布软文
    广告自助购
    文章调用
    常见问题
    保存到桌面