雅虎的大数据泄露: 太少，太晚的经典故事

2013年夏天，雅虎公司启动了一个项目，以更好地保护其客户的密码，放弃使用一种信誉不佳的技术来加密被称为md5的数据。太晚了。当年8月，黑客获得了超过10亿个Yahoo帐户，窃取了加密不良的密码和其他信息，这是有记录以来最大的数据泄露事件。雅虎最近才发现黑客攻击，并于上周披露。

攻击的时机似乎倒霉，但黑客和安全专家已经知道MD5的弱点已有十多年了。MD5比其他所谓的 “散列” 算法更容易破解，后者是将数据转换为看似随机的字符串的数学函数。

2008年，在雅虎采取行动的五年前，卡内基梅隆大学软件工程学院通过美国政府资助的漏洞警报系统向安全专业人员发出了公开警告: MD5 “应被视为密码损坏，不适合进一步使用。”

据五名前员工和一些外部安全专家称，雅虎未能及时退出MD5，这是雅虎在应对业务挑战时面临安全运营问题的一个例子。他们说，更强大的哈希技术将使黑客在破坏Yahoo的网络后更难以进入客户帐户，从而使攻击的破坏性大大降低。

“MD5早在2013年之前就被认为已经死亡，” 网络公司TrustedSec LLC的首席执行官大卫 · 肯尼迪 (David Kennedy) 说。“到那时，大多数公司都在使用更安全的哈希算法。”他没有透露具体的公司。

雅虎已确认在攻击发生时仍在使用MD5，但对该公司在安全性上有所疏忽的说法提出了异议。

雅虎在给路透社的一份声明中说: “在我们20多年的历史中，雅虎一直专注于并投资于安全计划和人才，以保护我们的用户。”“自2012年以来，我们在整个公司的安全计划上投入了超过2.5亿美元。”

竞争优先事项

然而，前雅虎安全人员告诉路透社，当安全团队要求新工具和功能 (例如加强加密保护) 时，安全团队有时会被拒绝。理由是请求会花费太多钱，太复杂或优先级太低。

在一定程度上，这反映了互联网先驱长期以来的财务困境: 自2008达到顶峰以来，雅虎的收入和利润一直在稳步下降，而Alphabet公司的Google，Facebook公司和其他公司已开始主导消费者互联网业务。

1999年至2001年在雅虎安全团队工作的耶利米 · 格罗斯曼 (Jeremiah Grossman) 说: “当生意好的时候，做安全之类的事情很容易。”“当生意不好的时候，你预计会看到安全被削减。”

可以肯定的是，没有一个系统是完全防黑客攻击的。黑客设法破解了使用比md5更先进的技术加密的密码。其他互联网公司，如LinkedIn和AOL，也遭受了安全漏洞，尽管没有比雅虎大。

“任何大公司都可能发生这种情况，” 前世界银行安全经理兼安全行业高管汤姆 · 凯勒曼 (Tom Kellermann) 说。

现任投资公司Strategic Cyber Ventures首席执行官的凯勒曼 (Kellermann) 表示，雅虎花了几年时间才发现大规模攻击，他对此并不感到惊讶。他说: “黑客通常有能力比我们想象的更深入地钻进一个系统，并保持多年。”

路透社无法确定2013年除雅虎外还有多少公司使用MD5。谷歌，Facebook和微软公司没有立即回应置评请求。

根据雅虎的另一位前安全资深人士的说法，即使公司发展迅速，由于公司专注于系统性能以跟上增长，因此安全性有时也会退居二线。

这位知情人士说，然后，当增长停滞时，高级安全人员离开了其他公司，获得昂贵升级批准的机会进一步下降。“对用户数据库的任何更改都要花很长时间，因为他们人手不足，而且这是一个超关键的系统-一切都取决于它，” 前雅虎员工说。

雅虎拒绝评论其安全做法的细节，但表示，该公司定期进行演习，以测试和改善其网络防御，并强调了诸如 “漏洞赏金” 计划之类的活动，在该计划中，它向黑客付款以发现安全漏洞并将其报告给公司。

两个最大的违规行为

去年9月，雅虎披露了一次2014的网络攻击，该攻击影响了至少5亿个客户帐户，这是当时已知的最大数据泄露事件。

在上周传出更大的2013漏洞的消息后，美国联邦调查人员和立法者表示，他们正在审查雅虎的安全做法，verizon Communications Inc正在寻求重新谈判一项7月份的交易，以48亿美元的价格收购雅虎的互联网业务。

前雅虎员工表示，该公司的安全问题始于首席执行官玛丽莎 · 梅耶尔 (Marissa Mayer) 于2012年上任之前，并在她任职期间继续存在。两名前工作人员说，雅虎多年来遭受了俄罗斯黑客的攻击。

2014年，雅虎聘请了新的安全负责人亚历克斯 · 斯塔莫斯 (Alex Stamos)，他领导的一名安全人员-内部被称为 “偏执狂”-认为他们在打击黑客方面取得了进展，前员工说。2015年，当安全人员发现一个隐藏在雅虎电子邮件服务器上的程序，该程序正在监视所有传入的消息时，他们的第一个想法是俄罗斯黑客回来了。

事实证明，正如路透社先前报道的那样，该程序是由雅虎的电子邮件工程师安装的，以符合美国情报机构要求的秘密监视命令。此后不久，Stamos和他的一些员工离开了Yahoo，对安全操作造成了进一步的干扰。

本周，除了披露2013黑客攻击之外，雅虎还表示，有人访问了其专有计算机代码，以学习如何伪造 “cookie”，这将允许黑客在没有密码的情况下访问帐户。雅虎表示，它将一些伪造cookie的活动与它认为是造成2014数据盗窃的同一国家赞助的演员联系起来。

网络安全公司Trail of Bits的首席执行官丹 · 吉多 (Dan Guido) 表示: “他们钻进去了，可以接触到一切。”

周四，德国网络安全机构批评雅虎未能采用适当的加密技术，并建议德国消费者转向其他电子邮件提供商。

雅虎告诉路透社，它致力于通过领先于新威胁来确保用户安全。“今天的安全格局是复杂的，也是不断发展的，但是，在雅虎，我们对用户面临的威胁有深刻的了解，并不断努力保持领先于这些威胁，以确保我们的用户和平台的安全。”