据路透社报道,2013 年夏天,雅虎推行一个新项目来保障用户密码,同时宣布放弃旧有的安全性不佳的 MD5 加密方案。希望通过这一举措更好地保障用户密码安全。然而为时已晚,一切来得太迟了。同年八月份黑客入侵雅虎盗取了超过十亿条账户信息,账户密码和个人信息一并在泄露之列。失窃信息如此之大堪称历史之最。而雅虎三年之后才察觉到这此数据失窃,并在上周对外公布。
攻击的时间的巧合可能看上去只是雅虎运气不好。但 MD5 加密的缺点早在十年前就已为黑客和安全专家知晓。相比其他采用“哈希”(hashing)算法的加密,MD5 更容易被破解。
早在雅虎后知后觉的前五年,也即 2008 年,卡内基梅隆大学的软件工程研究所通过美国政府资助的漏洞警报系统向安全专业人员发出公共警告:MD5 应被视为已被破解的加密方式,不适合继续使用。
根据五名雅虎前雇员和外部安全专家的说法,雅虎因单方面侧重业务发展而导致了轻视安全问题。如果雅虎及时采用了更强的加密方案,那么即使后来黑客侵入了雅虎网络,所造成的破坏也会远远小于当下。
网络公司 TrustedSec LLC 的首席执行官大卫·肯尼迪(David Kennedy)说:“MD5 被认为在 2013 年之前就已经过时了。 大多数公司在那之后都开始使用更安全的哈希算法。”不过他并未指出具体公司名称。
而雅虎直到被攻击时仍在使用 MD5 加密,最终一代网络巨人为它忽视安全付出了代价。
雅虎在给路透社的一份声明中表示:“在 20 多年的历史中,雅虎一直专注于安全领域的投资以保护我们的用户。自 2012 年来,公司在安全领域投资超过 2.5 亿美元。”
只看业务 ,轻视安全
然而内部人士的说法却与声明有异。据雅虎安全部门前员工透露,安全团队提出的包括强加密在内的新安保措施经常被高层拒绝,理由是开支过高。并且领导层似乎认为安全问题不足以有那么高的优先级来占用资金。
囊中羞涩从内部角度反映了互联网领域金融斗争的激烈。雅虎的收入和利润在 2008 年达到峰值,之后便一路下跌。而同时谷歌、Facebook 和其他后起之秀已经逐渐抢占了消费者互联网业务。
“当业务好时,安全上的事就很容易做。业务不好时,安全领域的经费也被削减。”杰里米亚·格罗斯曼(Jeremiah Grossman)说。他曾在 1999 年至 2001 年任职于雅虎安全团队。
雅虎使用过时的弱加密酿成大祸,并不意味着采用先进算法的强加密就可以高枕无忧。没有任何系统能够保证绝对安全。目前黑客已经成功攻破比 MD5 更先进的加密技术。LinkedIn 和 AOL 这些互联网公司也曾受到过黑客入侵,只不过损失不像雅虎那么严重。
“这种事可能发生在任何大公司头上。”世界银行前安全经理和安全行业执行官汤姆·凯勒曼(Tom Kellermann)说。凯勒曼现任投资公司 Strategic Cyber Ventures 的首席执行官,他对雅虎足足用了几年才发现自己遭受了攻击并不感到惊讶。“黑客经常有能力潜伏多年,神不知鬼不觉地行动。”他说。
或许事情可能更糟?外界尚不清楚 2013 年除了雅虎之外是否还有其他大互联网公司也在使用 MD5 加密,以及是否还有其他公司被入侵。谷歌、Facebook 和微软没有立即对路透社就此的询问作出回应。
据另一位前雅虎安全专家讲,既是在公司业务迅速增长时,安全措施仍然落后于时代。因为相对于安全,公司更专注于让系统表现跟的上业务的增长。
后来,郁闷无为的高级安全人员纷纷离开,剩下的人获得经费批准的机会进一步下降。
雅虎拒绝对其具体安全措施置评,只是表示它有定期举办网络安全攻防演练并开展“Bug Bounty”。“Bug Bounty”是一种安全漏洞奖励计划,公司悬赏奖金,给那些能发现系统漏洞并上报给公司的人。
两次刷新泄露记录
今年秋天绝对是雅虎的“多事之秋”。就在最近这次承认数据泄露三个月前,雅虎披露了一项发生在 2014 年的网络攻击,称有五亿账户受到影响。先是五亿,后是十亿,雅虎两次刷新了人类最大规模数据泄露的记录。
在上周这则消息传出之后,美国联邦调查员和立法者表示,他们正在对雅虎的安全实践进行调查。而原本计划以 48 亿美元收购雅虎互联网业务的 Verizon 也在寻求重新谈判。
据雅虎前员工表示,公司的安全问题在梅耶尔上任之前就已存在,在更换新掌门之后也不见好转。有两名工作人员称多年来雅虎一直受到俄罗斯黑客的攻击。
2014 年雅虎聘请亚历克斯·斯塔莫斯(Alex Stamos)担任安全主管。斯塔莫斯和他的团队因其在网络安全领域的作为为人所知,此举被认为是雅虎开始重视安全的信号。随后安全人员在 2015 年发现一个隐藏在雅虎邮件系统的程序,该程序监视用户邮件内容。当时安全人员大为震惊,以为是俄罗斯黑客所为。但事实证明,监视不假,监者却搞错了。这个程序原来是美国情报机构和互联网公司合作的产物。这之后不久斯塔莫斯和他一些员工便离开了雅虎,留下了更加混乱的摊子。
上周,除了披露发生在 2013 年的史上最大规模数据失窃案,雅虎还表示有人访问了其专有计算机代码,以了解如何伪造“cookie”,通过此手段能够绕过密码访问账户。并且雅虎认为这些活动同 2014 年入侵是同一伙黑客所为。
网络安全公司 Trail of Bits 的首席执行官丹·吉多(Dan Guido)形象地描述这一切:“他们凿了个洞,由此窥探一切。”
周四,德国的网络安全机构批评雅虎未能采用适当的加密技术,并建议德国网民使用其他电子邮箱服务。