2月19日消息 據(jù)路透社報道，2013年夏天，雅虎推行一個新項目來保障用戶密碼，同時宣布放棄舊有的安全性不佳的MD5加密方案。希望通過這一舉措更好地保障用戶密碼安全。

公司主營業(yè)務(wù)：做網(wǎng)站、網(wǎng)站制作、移動網(wǎng)站開發(fā)等業(yè)務(wù)。幫助企業(yè)客戶真正實現(xiàn)互聯(lián)網(wǎng)宣傳，提高企業(yè)的競爭能力。成都創(chuàng)新互聯(lián)是一支青春激揚、勤奮敬業(yè)、活力青春激揚、勤奮敬業(yè)、活力澎湃、和諧高效的團隊。公司秉承以“開放、自由、嚴(yán)謹(jǐn)、自律”為核心的企業(yè)文化，感謝他們對我們的高要求，感謝他們從不同領(lǐng)域給我們帶來的挑戰(zhàn)，讓我們激情的團隊有機會用頭腦與智慧不斷的給客戶帶來驚喜。成都創(chuàng)新互聯(lián)推出河曲免費做網(wǎng)站回饋大家。

然而為時已晚，一切來得太遲了。同年八月份黑客入侵雅虎盜取了超過十億條賬戶信息，賬戶密碼和個人信息一并在泄露之列。失竊信息如此之大堪稱歷史之最。而雅虎三年之后才察覺到這此數(shù)據(jù)失竊，并在上周對外公布。

攻擊的時間的巧合可能看上去只是雅虎運氣不好。但MD5加密的缺點早在十年前就已為黑客和安全專家知曉。相比其他采用“哈?！?hashing)算法的加密，MD5更容易被破解。

早在雅虎后知后覺的前五年，也即2008年，卡內(nèi)基梅隆大學(xué)的軟件工程研究所通過美國政府資助的漏洞警報系統(tǒng)向安全專業(yè)人員發(fā)出公共警告：MD5應(yīng)被視為已被破解的加密方式，不適合繼續(xù)使用。

根據(jù)五名雅虎前雇員和外部安全專家的說法，雅虎因單方面?zhèn)戎貥I(yè)務(wù)發(fā)展而導(dǎo)致了輕視安全問題。如果雅虎及時采用了更強的加密方案，那么即使后來黑客侵入了雅虎網(wǎng)絡(luò)，所造成的破壞也會遠遠小于當(dāng)下。

網(wǎng)絡(luò)公司TrustedSec LLC的首席執(zhí)行官大衛(wèi)·肯尼迪(David Kennedy)說：“MD5被認(rèn)為在2013年之前就已經(jīng)過時了。 大多數(shù)公司在那之后都開始使用更安全的哈希算法?！辈贿^他并未指出具體公司名稱。

而雅虎直到被攻擊時仍在使用MD5加密，最終一代網(wǎng)絡(luò)巨人為它忽視安全付出了代價。

雅虎在給路透社的一份聲明中表示：“在20多年的歷史中，雅虎一直專注于安全領(lǐng)域的投資以保護我們的用戶。自2012年來，公司在安全領(lǐng)域投資超過2.5億美元?！?/p>

只看業(yè)務(wù) ，輕視安全

然而內(nèi)部人士的說法卻與聲明有異。據(jù)雅虎安全部門前員工透露，安全團隊提出的包括強加密在內(nèi)的新安保措施經(jīng)常被高層拒絕，理由是開支過高。并且領(lǐng)導(dǎo)層似乎認(rèn)為安全問題不足以有那么高的優(yōu)先級來占用資金。

囊中羞澀從內(nèi)部角度反映了互聯(lián)網(wǎng)領(lǐng)域金融斗爭的激烈。雅虎的收入和利潤在2008年達到峰值，之后便一路下跌。而同時谷歌、Facebook和其他后起之秀已經(jīng)逐漸搶占了消費者互聯(lián)網(wǎng)業(yè)務(wù)。

“當(dāng)業(yè)務(wù)好時，安全上的事就很容易做。業(yè)務(wù)不好時，安全領(lǐng)域的經(jīng)費也被削減?！苯芾锩讈啞じ窳_斯曼(Jeremiah Grossman)說。他曾在1999年至2001年任職于雅虎安全團隊。

雅虎使用過時的弱加密釀成大禍，并不意味著采用先進算法的強加密就可以高枕無憂。沒有任何系統(tǒng)能夠保證絕對安全。目前黑客已經(jīng)成功攻破比MD5更加密技術(shù)。LinkedIn和AOL這些互聯(lián)網(wǎng)公司也曾受到過黑客入侵，只不過損失不像雅虎那么嚴(yán)重。

“這種事可能發(fā)生在任何大公司頭上?！笔澜玢y行前安全經(jīng)理和安全行業(yè)執(zhí)行官湯姆·凱勒曼(Tom Kellermann)說。凱勒曼現(xiàn)任投資公司Strategic Cyber Ventures的首席執(zhí)行官，他對雅虎足足用了幾年才發(fā)現(xiàn)自己遭受了攻擊并不感到驚訝?！昂诳徒?jīng)常有能力潛伏多年，神不知鬼不覺地行動?！彼f。

或許事情可能更糟?外界尚不清楚2013年除了雅虎之外是否還有其他大互聯(lián)網(wǎng)公司也在使用MD5加密，以及是否還有其他公司被入侵。谷歌、Facebook和微軟沒有立即對路透社就此的詢問作出回應(yīng)。

據(jù)另一位前雅虎安全專家講，既是在公司業(yè)務(wù)迅速增長時，安全措施仍然落后于時代。因為相對于安全，公司更專注于讓系統(tǒng)表現(xiàn)跟的上業(yè)務(wù)的增長。

后來，郁悶無為的高級安全人員紛紛離開，剩下的人獲得經(jīng)費批準(zhǔn)的機會進一步下降。

雅虎拒絕對其具體安全措施置評，只是表示它有定期舉辦網(wǎng)絡(luò)安全攻防演練并開展“Bug Bounty”?！癇ug Bounty”是一種安全漏洞獎勵計劃，公司懸賞獎金，給那些能發(fā)現(xiàn)系統(tǒng)漏洞并上報給公司的人。

兩次刷新泄露記錄

今年秋天絕對是雅虎的“多事之秋”。就在最近這次承認(rèn)數(shù)據(jù)泄露三個月前，雅虎披露了一項發(fā)生在2014年的網(wǎng)絡(luò)攻擊，稱有五億賬戶受到影響。先是五億，后是十億，雅虎兩次刷新了人類最大規(guī)模數(shù)據(jù)泄露的記錄。

在上周這則消息傳出之后，美國聯(lián)邦調(diào)查員和立法者表示，他們正在對雅虎的安全實踐進行調(diào)查。而原本計劃以48億美元收購雅虎互聯(lián)網(wǎng)業(yè)務(wù)的Verizon也在尋求重新談判。

據(jù)雅虎前員工表示，公司的安全問題在梅耶爾上任之前就已存在，在更換新掌門之后也不見好轉(zhuǎn)。有兩名工作人員稱多年來雅虎一直受到俄羅斯黑客的攻擊。

2014年雅虎聘請亞歷克斯·斯塔莫斯(Alex Stamos)擔(dān)任安全主管。斯塔莫斯和他的團隊因其在網(wǎng)絡(luò)安全領(lǐng)域的作為為人所知，此舉被認(rèn)為是雅虎開始重視安全的信號。隨后安全人員在2015年發(fā)現(xiàn)一個隱藏在雅虎郵件系統(tǒng)的程序，該程序監(jiān)視用戶郵件內(nèi)容。當(dāng)時安全人員大為震驚，以為是俄羅斯黑客所為。但事實證明，監(jiān)視不假，監(jiān)者卻搞錯了。這個程序原來是美國情報機構(gòu)和互聯(lián)網(wǎng)公司合作的產(chǎn)物。這之后不久斯塔莫斯和他一些員工便離開了雅虎，留下了更加混亂的攤子。

上周，除了披露發(fā)生在2013年的史上最大規(guī)模數(shù)據(jù)失竊案，雅虎還表示有人訪問了其專有計算機代碼，以了解如何偽造“cookie”，通過此手段能夠繞過密碼訪問賬戶。并且雅虎認(rèn)為這些活動同2014年入侵是同一伙黑客所為。

網(wǎng)絡(luò)安全公司Trail of Bits的首席執(zhí)行官丹·吉多(Dan Guido)形象地描述這一切：“他們鑿了個洞，由此窺探一切?！?/p>

周四，德國的網(wǎng)絡(luò)安全機構(gòu)批評雅虎未能采用適當(dāng)?shù)募用芗夹g(shù)，并建議德國網(wǎng)民使用其他電子郵箱服務(wù)。

網(wǎng)頁名稱：被MD5加密坑了？雅虎大規(guī)模泄密是個咋樣的悲劇
網(wǎng)址分享：http://uogjgqi.cn/article/cdggesj.html