IT博客汇 | 2014年，俄罗斯间谍是如何黑进雅虎的？

2014年，俄罗斯间谍是如何黑进雅虎的？

maqingxi发表于 2017-03-21 03:50:53

仅仅因为一次鼠标点击，史上最大的数据泄露事件就这么发生了。美国联邦调查局已经针对雅虎被入侵的事件调查了两年，但直到最近整个入侵过程才浮出水面，本周三，FBI控告四名入侵者，其中两人竟然是俄罗斯间谍。

首先我们来前情回顾一下，2016年7月，美国无线运营商Verizon宣布以48.3亿美元的价格收购雅虎的核心业务，包括电邮、搜索、广告和网站等。好巧不巧，当年9月份和12月份，就相继爆出雅虎信息泄露事件，第一次称被盗取了5亿用户数据，第二次则是10亿用户数据被盗，雅虎承认并建议数亿用户更改密码。

这被黑的事还是从2014年开始的，据说直到这些资料被拿到黑市上售卖，雅虎才知情。在它单方面表示很“委屈且蒙圈”的同时，也致使Verizon对其核心业务收购事宜暂时停摆，卯足了劲儿地杀价，最终以44.8亿美元成交，成功砍价3.5亿美元。

当然收购已成定局，这里我们不再赘述。而在本周三，雅虎信息泄露事件也终于明朗化，美国FBI以雅虎网络入侵事件为由起诉四人，其中两人为俄罗斯间谍，现在我们终于可以扒一扒2014年，他们是如何黑进雅虎的？

一言概之曰：着了钓鱼邮件的道。一次错误的点击，帮助与俄罗斯情报机构合作的黑客得以访问雅虎的网络，以及电子邮件消息和5亿用户的个人信息。他们是如何做到的呢?下面是FBI的调查结果：

入侵始于2014年初，攻击手段是给雅虎职员发送鱼叉式钓鱼邮件。目前并不清楚有多少职员成为钓鱼目标以及发送了多少封邮件，但这些都不重要，因为只需某一个人的一次点击足矣。

俄罗斯间谍雇佣了一名拉脱维亚的黑客 Aleksey Belan，他在探查雅虎网络时，很快找到了两样法宝：雅虎的用户数据库和用来操作数据库的账户管理工具。

为了保持对雅虎系统的访问，他在雅虎的一台服务器上安装了后门，并于当年12月份把雅虎用户数据库的一份拷贝偷偷转移到了自己的计算机上。

这份数据库包含了姓名、电话、安全问题和答案，还有最关键，找回电子邮件的口令和每个账户的唯一加密值。

正是最后的两项关键数据，才使得Belan和他的商业黑客同伙 Karim Baratov 定位并访问，俄罗斯间谍 Dmitry Dokuchaev 和 Igor Sushchin 要求访问的用户账户。

美国地区法院对这四人的起诉书

黑客得到的数据库账户管理工具，并不允许对用户名进行简单的文本搜索，于是黑客转向恢复电子邮件地址。或基于恢复的电子邮件地址，或基于所有者的电子邮件域名显露出的信息，他们最终找到了目标者。

一旦锁定了目标者的账户，黑客就能够使用上文所说的加密值(称为“nonces”)，通过在雅虎服务器上已经安装的脚本，生成访问cookies。在2015到2016年间，黑客多次生成这样的cookies，在无需口令的情况下，自由出入用户的电子邮件账户。

在整个作案过程中，Belan和同伙都非常冷静、谨慎，虽然手里握有5亿账户信息，但他们却只生成了访问6500个账户的cookies。

被入侵的账户包括俄罗斯联邦副主席的一位助手，俄罗斯内务部的一名官员，一位俄罗斯体育部的培训人员。另外还有俄罗斯记者、俄罗斯边境国官员、美国政府工作人员，甚至还有一名瑞士比特币支付公司的职员和一名美国航空公司的工作人员。

正因为如此的谨慎、冷静，当FBI最初在2014年找到雅虎时，只担心26个账户被入侵。直到2016年8月下旬，整个入侵后果才开始浮现出来，FBI才开始明显加大调查力度。

2016年12月，雅虎公布了入侵细节，并通知它的亿万用户修改口令。

最后小编只能说，电子邮件攻略实在是黑客们的居家旅行必备。此外，实在是搞不懂2014年开始实施信息盗窃，为什么偏偏在雅虎准备卖给Verizon的时候，黑市上就出现大量雅虎用户数据兜售这种脑回路。

Via　存储在线（崔欢欢）

微博：新浪微博 - 腾讯微博
QQ群：28023830 - 微信公众号：yseeker
品味雅虎投稿信箱：tougao@yseeker.com
扫描二维码订阅「品味雅虎」微信公众号