俄罗斯间谍是如何入侵雅虎的
仅仅因为一次鼠标点击,史上最大的数据泄露事件就这么发生了。
美国联邦调查局已经针对雅虎被入侵的事件调查了两年,但直到最近整个入侵过程才浮出水面,本周三,FBI控告四名入侵者,其中两人竟然是俄罗斯间谍。
一次错误的点击,帮助与俄罗斯情报机构合作的黑客得以访问雅虎的网络,以及电子邮件消息和5亿用户的个人信息。他们是如何做到的呢?下面是FBI的调查结果:
入侵始于2014年初,攻击手段是给雅虎职员发送鱼叉式钓鱼邮件。目前并不清楚有多少职员成为钓鱼目标以及发送了多少封邮件,但这些都不重要,因为只需某一个人的一次点击足矣。
俄罗斯间谍雇佣了一名拉脱维亚的黑客 Aleksey Belan,他在探查雅虎网络时,很快找到了两样法宝:雅虎的用户数据库和用来操作数据库的账户管理工具。
为了保持对雅虎系统的访问,他在雅虎的一台服务器上安装了后门,并于当年12月份把雅虎用户数据库的一份拷贝偷偷转移到了自己的计算机上。
这份数据库包含了姓名、电话、安全问题和答案,还有最关键的恢复电子邮件的口令和每个账户的唯一加密值。
正是最后的两项关键数据,才使得Belan和他的商业黑客同伙 Karim Baratov 定位并访问,俄罗斯间谍 Dmitry Dokuchaev 和 Igor Sushchin 要求访问的用户账户。
美国地方法院起诉四人入侵雅虎
黑客得到的数据库账户管理工具,并不允许对用户名进行简单的文本搜索,于是黑客转向恢复电子邮件地址。或基于恢复的电子邮件地址,或基于所有者的电子邮件域名显露出的信息,他们最终找到了目标者。
一旦锁定了目标者的账户,黑客就能够使用上文所说的加密值(称为“nonces”),通过在雅虎服务器上已经安装的脚本,生成访问cookies。在2015到2016年间,黑客多次生成这样的cookies,在无需口令的情况下,自由出入用户的电子邮件账户。
在整个作案过程中,Belan和同伙都非常冷静、谨慎,虽然手里握有5亿账户信息,但他们只生成了访问6500个账户的cookies。
被入侵的账户包括俄罗斯联邦副主席的一位助手,俄罗斯内务部的一名官员,一位俄罗斯体育部的培训人员。另外还有俄罗斯记者、俄罗斯边境国官员、美国政府工作人员,甚至还有一名瑞士比特币支付公司的职员和一名美国航空公司的工作人员。
正因为如此的谨慎、冷静,当FBI最初在2014年找到雅虎时,只担心26个账户被入侵。直到2016年8月下旬,整个入侵后果才开始浮现出来,FBI才开始明显加大调查力度。
2016年12月,雅虎公布了入侵细节,并通知它的亿万用户修改口令。