密码泄露可能会产生远远超出Yahoo的连锁反应

当投资者和调查人员权衡雅虎大规模入侵互联网图标的损害时，信息安全专家担心，破纪录的密码数据可能会被用来打开网络上的锁。虽然未知被盗数据已经或将要传播到什么程度，但巨大的漏洞可能会在互联网上引发不安全感的涟漪。

“雅虎规模的数据泄露相当于生态灾难的安全，” 宾夕法尼亚大学分布式系统实验室的安全研究员马特 · 布雷兹说，在发布到Twitter的消息中。一个很大的担忧是一种被称为 “凭证填充” 的网络犯罪技术，它通过在一系列网站上抛出泄露的用户名和密码组合来试图闯入，有点像小偷在公寓大厅里找到一圈钥匙，然后一个接一个地尝试，在大楼的每扇门里。软件使试错过程实际上是即时的。

总部位于加利福尼亚州山景城Shape Security的首席技术官Shuman Ghosemajumder表示，凭证填充通常在0.1% 到2% 之间成功。这意味着使用5亿密码的网络犯罪分子可能会劫持成千上万的其他帐户。Ghosemajumder在电话采访中说: “对他们来说，这变成了数字游戏。”

那么，雅虎的重大漏洞是否意味着其他地方的较小漏洞的爆炸，例如大地震后的余震？Ghosemajumder不这么认为。他说，随着网络犯罪分子补充他们的新黑客密码库存，他认为新的违规行为不会激增，而是尝试的稳步增加。同样可以想象，雅虎密码已经被用来入侵其他服务; 该公司表示，盗窃发生在2014年底，这意味着数据已经泄露了长达两年的时间。

“这就像一场生态灾难，” Ghosemajumder在电话采访中说。“但是选择正确的灾难。这更像是全球变暖，而不是地震。…… 它逐渐积累起来。"7月初，主板记者约瑟夫 · 考克斯 (Joseph Cox) 开始收到雅虎黑客入侵的凭证样本，这是雅虎出了问题的第一个暗示。几周后，一名使用 “和平” 手柄的网络罪犯挺身而出，提供了5,000个样本，令人震惊的声称要出售2亿更多。

8月1日，考克斯 (Cox) 发表了有关此次拍卖的故事，但这位记者说，他从未确定和平的资格来自何处。他指出，雅虎表示，其大多数密码都是通过一种加密协议保护的，而peace的样本则使用了第二种。和平要么从雅虎的少数数据中抽取样本，要么他正在处理一组不同的数据。考克斯在周二的一封电子邮件中说: “有了目前可用的信息，后者更有可能是后者。”

美联社一直无法找到和平。卖方过去一直活跃的暗网市场几天来一直无法进入，据称是由于网络攻击。目前还不知道谁持有密码，也不知道雅虎将这一漏洞归咎于国家支持的演员，曾经有兴趣将其数据传递给像peace这样的人。

即使黑客入侵是一项简单的间谍活动，Gartner安全分析师Avivah Litan表示，这也不是放松的理由。间谍可以从看似随机的公民那里挖掘看似琐碎的数据，以弄清他们真正目标的秘密。“这就是情报工作的方式，” 利坦在电话中说。

与此同时，在互联网上回收相同密码的雅虎用户可能仍然面临风险。虽然人们总是可以在他们使用的所有网站上更改密码，但雅虎宣布一些安全问题也受到损害，这意味着与漏洞相关的风险可能会持续存在。毕竟可以更改密码，但是如何重置母亲的娘家姓？