当前位置:首页被MD5加密坑了?雅虎大规模泄密是个咋样的悲剧 举报文章

被MD5加密坑了?雅虎大规模泄密是个咋样的悲剧

作者:admin    来源:用户投稿    时间:2016.12.21   
undefined

  网易科技讯12月19日消息 据路透社报道,2013年夏天,雅虎推行一个新项目来保障用户密码,同时宣布放弃旧有的安全性不佳的MD5加密方案。希望通过这一举措更好地保障用户密码安全。

  然而为时已晚,一切来得太迟了。同年八月份黑客入侵雅虎盗取了超过十亿条账户信息,账户密码和个人信息一并在泄露之列。失窃信息如此之大堪称历史之最。而雅虎三年之后才察觉到这此数据失窃,并在上周对外公布。

  攻击的时间的巧合可能看上去只是雅虎运气不好。但MD5加密的缺点早在十年前就已为黑客和安全专家知晓。相比其他采用“哈希”(hashing)算法的加密,MD5更容易被破解。

  早在雅虎后知后觉的前五年,也即2008年,卡内基梅隆大学的软件工程研究所通过美国政府资助的漏洞警报系统向安全专业人员发出公共警告:MD5应被视为已被破解的加密方式,不适合继续使用。

  根据五名雅虎前雇员和外部安全专家的说法,雅虎因单方面侧重业务发展而导致了轻视安全问题。如果雅虎及时采用了更强的加密方案,那么即使后来黑客侵入了雅虎网络,所造成的破坏也会远远小于当下。

  网络公司TrustedSec LLC的首席执行官大卫·肯尼迪(David Kennedy)说:“MD5被认为在2013年之前就已经过时了。 大多数公司在那之后都开始使用更安全的哈希算法。”不过他并未指出具体公司名称。

  而雅虎直到被攻击时仍在使用MD5加密,最终一代网络巨人为它忽视安全付出了代价。

  雅虎在给路透社的一份声明中表示:“在20多年的历史中,雅虎一直专注于安全领域的投资以保护我们的用户。自2012年来,公司在安全领域投资超过2.5亿美元。”

  只看业务 ,轻视安全

  然而内部人士的说法却与声明有异。据雅虎安全部门前员工透露,安全团队提出的包括强加密在内的新安保措施经常被高层拒绝,理由是开支过高。并且领导层似乎认为安全问题不足以有那么高的优先级来占用资金。

  囊中羞涩从内部角度反映了互联网领域金融斗争的激烈。雅虎的收入和利润在2008年达到峰值,之后便一路下跌。而同时谷歌、Facebook和其他后起之秀已经逐渐抢占了消费者互联网业务。

  “当业务好时,安全上的事就很容易做。业务不好时,安全领域的经费也被削减。”杰里米亚·格罗斯曼(Jeremiah Grossman)说。他曾在1999年至2001年任职于雅虎安全团队。

  雅虎使用过时的弱加密酿成大祸,并不意味着采用先进算法的强加密就可以高枕无忧。没有任何系统能够保证绝对安全。目前黑客已经成功攻破比MD5更先进的加密技术。LinkedIn和AOL这些互联网公司也曾受到过黑客入侵,只不过损失不像雅虎那么严重。

  “这种事可能发生在任何大公司头上。”世界银行前安全经理和安全行业执行官汤姆·凯勒曼(Tom Kellermann)说。凯勒曼现任投资公司Strategic Cyber Ventures的首席执行官,他对雅虎足足用了几年才发现自己遭受了攻击并不感到惊讶。“黑客经常有能力潜伏多年,神不知鬼不觉地行动。”他说。

  或许事情可能更糟?外界尚不清楚2013年除了雅虎之外是否还有其他大互联网公司也在使用MD5加密,以及是否还有其他公司被入侵。谷歌、Facebook和微软没有立即对路透社就此的询问作出回应。

  据另一位前雅虎安全专家讲,既是在公司业务迅速增长时,安全措施仍然落后于时代。因为相对于安全,公司更专注于让系统表现跟的上业务的增长。

  后来,郁闷无为的高级安全人员纷纷离开,剩下的人获得经费批准的机会进一步下降。

  雅虎拒绝对其具体安全措施置评,只是表示它有定期举办网络安全攻防演练并开展“Bug Bounty”。“Bug Bounty”是一种安全漏洞奖励计划,公司悬赏奖金,给那些能发现系统漏洞并上报给公司的人。

  

undefined

  两次刷新泄露记录

  今年秋天绝对是雅虎的“多事之秋”。就在最近这次承认数据泄露三个月前,雅虎披露了一项发生在2014年的网络攻击,称有五亿账户受到影响。先是五亿,后是十亿,雅虎两次刷新了人类最大规模数据泄露的记录。

  在上周这则消息传出之后,美国联邦调查员和立法者表示,他们正在对雅虎的安全实践进行调查。而原本计划以48亿美元收购雅虎互联网业务的Verizon也在寻求重新谈判。

  据雅虎前员工表示,公司的安全问题在梅耶尔上任之前就已存在,在更换新掌门之后也不见好转。有两名工作人员称多年来雅虎一直受到俄罗斯黑客的攻击。

  2014年雅虎聘请亚历克斯·斯塔莫斯(Alex Stamos)担任安全主管。斯塔莫斯和他的团队因其在网络安全领域的作为为人所知,此举被认为是雅虎开始重视安全的信号。随后安全人员在2015年发现一个隐藏在雅虎邮件系统的程序,该程序监视用户邮件内容。当时安全人员大为震惊,以为是俄罗斯黑客所为。但事实证明,监视不假,监者却搞错了。这个程序原来是美国情报机构和互联网公司合作的产物。这之后不久斯塔莫斯和他一些员工便离开了雅虎,留下了更加混乱的摊子。

  上周,除了披露发生在2013年的史上最大规模数据失窃案,雅虎还表示有人访问了其专有计算机代码,以了解如何伪造“cookie”,通过此手段能够绕过密码访问账户。并且雅虎认为这些活动同2014年入侵是同一伙黑客所为。

  网络安全公司Trail of Bits的首席执行官丹·吉多(Dan Guido)形象地描述这一切:“他们凿了个洞,由此窥探一切。”

  周四,德国的网络安全机构批评雅虎未能采用适当的加密技术,并建议德国网民使用其他电子邮箱服务。

好文打赏,给Ta鼓励
扫一扫用手机阅读本文
Tags:加密  坑了  雅虎  大规模  规模  泄密  是个  咋样  悲剧  
  • 相关搜索
图片推荐
    阿里发布2014年打假报告:两年打假投入超10亿

    阿里发布2014年打假报告:两年打假投入超10亿

    新浪科技讯 12月23日上午消息,阿里巴巴集团今日向外界展示了线下线上打假成果,公开阿里的大数据打假模式,并发布线上线下联动打假的未来趋势。这是阿里巴巴成立15年来,首次向社会揭秘其打假的工作机制。 
    视频营销解析及提高视频播放量发散思维!

    视频营销解析及提高视频播放量发散思维!

    最近在做视频营销,基本的原理就是找热门视频,然后中间插入自己的广告,在上传到各大视频网站。通过视频强大的播放量来过滤掉泛流量,把精准用户引导到自己的数据库。  这样说其实是一个简单的过程,但是其中的细
    硅谷归来7点分享:创业者,做你自己

    硅谷归来7点分享:创业者,做你自己

    你只活一次;有规则并遵守才有效率;相信相信的力量。  王利杰  从做PreAngel以来,每年我都会抽空去美国一两次,主要是在硅谷(湾区)一带见见当地的朋友,他们主要有VC、创业者、斯坦福和伯克利的学
    毒贩也成“电商”:QQ下单快递寄送 辐射六省七市

    毒贩也成“电商”:QQ下单快递寄送 辐射六省七市

    警方起获的毒品和枪支。南都记者饶德宏摄  原标题:毒贩也成电商 毒网跨六省七市  随着电子商务的兴起,快递寄送成为人们的生活常态,这种便捷的方式也正被犯罪分子利用。日前,石龙警方即破获一宗由国家公安部
    QQ邮箱开放平台的网站推广方法

    QQ邮箱开放平台的网站推广方法

    这两年,开放是行业的一种趋势,也是行业大佬们表现出来的一种态势,合理利用各类开放平台为已所用,对于自身网站或产品的推广,会起到非常大的作用。腾讯,做为互联网大佬之一,已表示,其旗下产品线将全面开放合作
    被巨头驱赶 独立移动阅读创业者的生死劫

    被巨头驱赶 独立移动阅读创业者的生死劫

    据朋友透露,又有一家有点知名度的移动互联网创业公司发生资金链断裂,发不出工资,原因是预期目标没有达到,VC不太想再投入资金。没有盈利模式,没有收入,靠VC投钱养活,这种生存方式肯定是脆弱的。  前几年
    怎么安装江湖家居系统_江湖婚庆系统?

    怎么安装江湖家居系统_江湖婚庆系统?

    【教程】怎么安装江湖家居系统_江湖婚庆系统?  《江湖家居门户系统》和《江湖婚庆门户系统》可以帮助互联网新手用户快速的建立一个专业的行业门户网站,但是实际操作中,由于很多用户对基本网站知识了解不多,所
你是怎么知道非凡网赚网的?
  •   
  • 联系QQ 邮箱:976382653@qq.com 微信:976382653
    在线留言
    发布软文
    广告自助购
    文章调用
    常见问题
    保存到桌面