您的位置:首页 >互联网 >

密码泄露可能会产生远远超出Yahoo的连锁反应

当投资者和调查人员权衡雅虎大规模入侵互联网图标的损害时,信息安全专家担心,破纪录的密码数据可能会被用来打开网络上的锁。虽然未知被盗数据已经或将要传播到什么程度,但巨大的漏洞可能会在互联网上引发不安全感的涟漪。

“雅虎规模的数据泄露相当于生态灾难的安全,” 宾夕法尼亚大学分布式系统实验室的安全研究员马特 · 布雷兹说,在发布到Twitter的消息中。一个很大的担忧是一种被称为 “凭证填充” 的网络犯罪技术,它通过在一系列网站上抛出泄露的用户名和密码组合来试图闯入,有点像小偷在公寓大厅里找到一圈钥匙,然后一个接一个地尝试,在大楼的每扇门里。软件使试错过程实际上是即时的。

总部位于加利福尼亚州山景城Shape Security的首席技术官Shuman Ghosemajumder表示,凭证填充通常在0.1% 到2% 之间成功。这意味着使用5亿密码的网络犯罪分子可能会劫持成千上万的其他帐户。Ghosemajumder在电话采访中说: “对他们来说,这变成了数字游戏。”

那么,雅虎的重大漏洞是否意味着其他地方的较小漏洞的爆炸,例如大地震后的余震?Ghosemajumder不这么认为。他说,随着网络犯罪分子补充他们的新黑客密码库存,他认为新的违规行为不会激增,而是尝试的稳步增加。同样可以想象,雅虎密码已经被用来入侵其他服务; 该公司表示,盗窃发生在2014年底,这意味着数据已经泄露了长达两年的时间。

“这就像一场生态灾难,” Ghosemajumder在电话采访中说。“但是选择正确的灾难。这更像是全球变暖,而不是地震。…… 它逐渐积累起来。"7月初,主板记者约瑟夫 · 考克斯 (Joseph Cox) 开始收到雅虎黑客入侵的凭证样本,这是雅虎出了问题的第一个暗示。几周后,一名使用 “和平” 手柄的网络罪犯挺身而出,提供了5,000个样本,令人震惊的声称要出售2亿更多。

8月1日,考克斯 (Cox) 发表了有关此次拍卖的故事,但这位记者说,他从未确定和平的资格来自何处。他指出,雅虎表示,其大多数密码都是通过一种加密协议保护的,而peace的样本则使用了第二种。和平要么从雅虎的少数数据中抽取样本,要么他正在处理一组不同的数据。考克斯在周二的一封电子邮件中说: “有了目前可用的信息,后者更有可能是后者。”

美联社一直无法找到和平。卖方过去一直活跃的暗网市场几天来一直无法进入,据称是由于网络攻击。目前还不知道谁持有密码,也不知道雅虎将这一漏洞归咎于国家支持的演员,曾经有兴趣将其数据传递给像peace这样的人。

即使黑客入侵是一项简单的间谍活动,Gartner安全分析师Avivah Litan表示,这也不是放松的理由。间谍可以从看似随机的公民那里挖掘看似琐碎的数据,以弄清他们真正目标的秘密。“这就是情报工作的方式,” 利坦在电话中说。

与此同时,在互联网上回收相同密码的雅虎用户可能仍然面临风险。虽然人们总是可以在他们使用的所有网站上更改密码,但雅虎宣布一些安全问题也受到损害,这意味着与漏洞相关的风险可能会持续存在。毕竟可以更改密码,但是如何重置母亲的娘家姓?

相关推荐

猜你喜欢

特别关注