2014年,他们是如何黑进雅虎的?

首先我们来前情回顾一下,2016年7月,美国无线运营商Verizon宣布以48.3亿美元的价格收购雅虎的核心业务,包括电邮、搜索、广告和网站等。好巧不巧,当年9月份和12月份,就相继爆出雅虎信息泄露事件,第一次称被盗取了5亿用户数据,第二次则是10亿用户数据被盗,雅虎承认并建议数亿用户更改密码。

这被黑的事还是从2014年开始的,据说直到这些资料被拿到黑市上售卖,雅虎才知情。在它单方面表示很“委屈且蒙圈”的同时,也致使Verizon对其核心业务收购事宜暂时停摆,卯足了劲儿地杀价,最终以44.8亿美元成交,成功砍价3.5亿美元。

当然收购已成定局,这里我们不再赘述。而在本周三,雅虎信息泄露事件也终于明朗化,美国FBI以雅虎网络入侵事件为由起诉四人,其中两人为俄罗斯间谍,现在我们终于可以扒一扒2014年,他们是如何黑进雅虎的?

一言概之曰:着了钓鱼邮件的道。一次错误的点击就是黑客利用俄罗斯国家安全服务获取访问雅虎网络与其潜在电子邮件以及多达5亿人的个人信息所需要的契机。

下面是FBI方面公开的说法:

黑客的攻击始于2014年初发送给雅虎公司员工的钓鱼邮件。目前尚不清楚有多少被设为目标的员工以及发送的电子邮件数目,但只要有一个人点击一个链接,黑客的目的就达到了。

然后俄罗斯间谍雇佣的一位来自拉脱维亚的黑客,Aleksey Belan开始在网上搜索两样东西——雅虎的用户数据库与其编辑数据库的帐户管理工具。

找到后他在雅虎服务器上安装了一个允许访问的后门程序,并在12月窃取了雅虎用户数据库的备份资料,上传到自己的电脑上。

所谓数据库包含名称,电话号码,密码问题和答案,还有至关重要的——密码恢复邮件及每个帐户唯一的加密值。

最后这两项使得Belan和商业黑客Karim Baratov能够锁定并访问俄罗斯间谍Dmitry Dokuchaev和Igor Sushchin要求的某些用户的帐户。

170315-fbi-2-100713716-large

美国地区法院对这四人的起诉书

上述的帐户管理工具不允许对用户名进行简单的文字搜索,于是黑客转向了恢复电子邮件地址。有时他们能够根据恢复电子邮件地址来识别目标,电子邮件域名会提示他们帐户持有人在从事他们所感兴趣的公司或机构的工作。

一旦帐户被识别,黑客就能够使用称为“nonce”的被盗加密值通过安装在雅虎服务器上的脚本生成访问cookie。这些cookie在2015年和2016年生成了多次,使黑客无需密码就能够免费访问用户的电子邮件帐户。

而在他们整个有可能访问约5亿个帐户的过程中,仅生成了大约6500个帐户Cookie。

被黑的用户包括俄罗斯副主席助理,俄罗斯内政部官员以及在俄罗斯体育部工作的培训师。其它人则包括俄罗斯记者,美国政府工作人员,Swiss Bitcoin公司的雇员以及美国航空公司工人等。

最后小编只能说,电子邮件攻略实在是黑客们的居家旅行必备。此外,实在是搞不懂2014年开始实施信息盗窃,为什么偏偏在雅虎准备卖给Verizon的时候,黑市上就出现大量雅虎用户数据兜售这种脑回路。