BI 中文站 3 月 16 日报道
美国司法部周三表示,俄罗斯间谍和黑客联手侵入了成千上万个雅虎用户帐户。
这次泄密事件牵连到超过 5 亿的雅虎帐户,它也因此成为史上最大规模的黑客攻击事件。
黑客们是如何做到的?
简单地说,黑客们先设法弄到了一个包含雅虎帐户的用户名、加密密码和其他信息的秘密目录。然后,他们利用这些数据来欺骗雅虎的服务器,让服务器以为这些用户的网络浏览器已经登录了雅虎的网络服务。这种做法很巧妙,因为这样他们就不需要去解密用户帐户的密码。
这个过程需要针对特定帐户和创建虚假网络凭证以模拟该用户。在黑客世界里,这是最常规的攻击方式,但是它有效。
司法部在声明中详细解释了这种攻击方式,这也是 FBI 调查的结果。
雅虎的黄页和虚假 cookie
司法部称,最关键的步骤是臭名昭著的黑客埃里克西·埃里克西维奇·比兰(Alexsey Alexseyevich Belan)侵入并偷走了至少一部分雅虎用户数据库的拷贝。
我们可以将这个数据库看作是所有雅虎用户的一种中央目录或者黄页。它包含了用户名、加密密码和其他个人信息。这个数据库是一个本不该对外公开的秘密文件。
司法部在起诉书中写到:“这个数据库包括了手工创建或伪造帐户认证 cookie 所需的信息。”
伪造 cookie 意味着什么?
当你访问某个网站的时候,它会在你的电脑中留下一个被称作 cookie 的小文件。这个小文件中保存着关于你的特定信息,包括你是否登录了该网站以及你是用哪个帐户登录的。
当你再次访问这个网站的时候,网站就会检查你的电脑中是否存在合法 cookie 以及它是否过期了。
很多网站允许用户将 cookie 的有效期设置成 30 天,只要 cookie 没有过期,他们使用同一台电脑和浏览器再次访问网站时就无需输入密码。网站会读取电脑中的 cookie 并且认为用户已经登录了。
黑客们就是利用他们偷走的目录信息拿到了雅虎的 cookie 秘方。这意味着他们可以随心所欲地为任何帐户创建虚假 cookie。这些虚假 cookie 可以欺骗雅虎邮件等服务,让服务器认为这些用户已经登录了。就这样,黑客们根本不需要破解和输入密码就能进入任何雅虎用户帐户。
司法部称,黑客们利用这种方法侵入了 6500 个特定用户帐户,其中有很多是俄罗斯记者和政治家的帐户。黑客们还利用 3000 万帐户发动了一次垃圾邮件攻击,目的可能是为了赚到更多的钱。
影响范围如此之大的黑客入侵事件是非常罕见的,更令人惊讶的是,黑客根本不知道你的密码是什么。(编译/林靖东)