雅虎10亿账户数据去年就在暗网以30万美金出售，3名土豪已经

距离上一次5亿数据泄露过去没多久，雅虎又一次让我们大吃一惊，这一次雅虎泄露的账户数量足足有10亿之多。Freebuf上周也对此事进行了报导，雅虎现如今的表情差不多应该是这样的：

来自纽约时报的消息，安全公司InfoArmor的CIO Andrew Komarov这两天向媒体透露，雅虎泄露的这10亿数据，早在去年8月份就已经在暗网出售了，售价30万美金。不过上周此事件曝光后，雅虎立即发出公告要求用户重置密码，现在这份数据的价格已经降至2万美元。

就Verizon透露，目前公司已经与和政府展开合作，配合调查。雅虎在官方声明中提到：

“我们相信此次事件应该是某未经授权的第三方所为，他们在2013年8月窃取了超10亿用户信息。”“这跟今年9月22日曝光的那起事件没有什么关系。”

你造吗？泄露的10亿个账户已经被坏人用来做坏事了！

中新网衡水11月22日电 （崔涛 张帆 崔志平）针对日前有媒体报道部分政府网站泄露个人信息事件，22日，河北衡水市政府信息公开协调小组办公室在回应中承认该市部分部门工作人员在保护“个人隐私”和保障公众“知情权和参与权”方面把握不准，导致个人敏感信息公开上网。中新网衡水11月22日电 (崔涛 张帆 崔志平)针对日前有媒体报道部分政府网站泄露个人信息事件，22日，河北衡水市政府信息公开协调小组办公室在回应中承认该市部分部门工作人员在保护“个人隐私”和保障公众“知情权和参与权”方面把握不准，导致个人敏感信息公开上网。瓦库尔商品的出售理念简单而又显明 ：乳罩要有欧洲的风雅、美国的合体和日本的技术，并将售价统一定为20至40美金。

据说目前已经有3名土豪购买了这10亿账户信息。其中2位是“垃圾邮件户”，另一位支付了30万美金的买家基本可以认定是组织，据InfoArmor所说其目的是掌握整个。

雅虎表示今年11月时才第一次意识到账号被盗——还是由一个黑客提供的被盗信息。而且那个时候他们正在处理5亿数据被盗事件。

这次10亿账户被盗似乎是用不同手法达成的，雅虎目前还没有查出数据窃取是具体通过何种手段完成的。

腾讯qq群关系数据被泄露，数据下载链接很轻易在迅雷快传找到。有调查发现这些数据可能在半年前已经泄露，而且数额可能突破十二亿，泄露途径暂不确定，泄露的数据只有极低的可能性是通过撞库得到的，某易被拖库的可能性比较大。国内知名安全漏洞监测平台乌云20日公布报告称，腾讯qq群关系数据被泄露，数据下载链接很轻易在迅雷快传找到。

但是雅虎当时并未对此发表任何评论，外界也就无从知晓这份数据是否可靠。

Komarov表示，之所以没有直接去找雅虎，是“因为如果是通过中间人来联系，这位互联网巨头瞧不上这些安全公司”，而且他还表示根本就不信任雅虎自己去调查数据被窃事件的可靠性。

Andrew Komarov还说：

我在今年年初就已经获得了雅虎的一份Copy。盗窃雅虎数据的是黑客团队“group E”，来自东欧，通过三种隐蔽渠道售卖数据，至少其中一名买家可能是有政府背景的人。

泄露的包括用户的个人信息、、邮件信息、感兴趣的东西、旅行计划，还有智能终端的关键信息。

和上一次5亿邮箱泄露不同的是，这一次的10亿账户泄露可能真的毁灭了用户的隐私，而且早在几年前你还不知情的情况下就已经完全毁灭了。

InfoArmor将他们的发现告知了美国、澳大利亚、英国以及几个欧洲国家的雅虎邮箱后缀。据说这些被盗数据中有15万个美国国家政府以及军方账号，这些账号的后缀都带有.gov或是.mil，可谓”matter of national security.”。

毕竟，这些被盗数据可能会让那些别有用心的买家迅速掌握美国政府成员的邮箱。

都2013年了，还在用MD5。你似不似撒？

近几年，很多云中的安全协议和算法都采用了同态的思想来确保数据的安全性、如同态标签技术可以用来解决数据的存储外包问题[18~21]，用同态加密技术来解决云中数据的加密检索以及隐私保护[22]等。数据在客户端发往云存储之前实现国密算法的高强度加密，密钥客户自己掌握，别人无法打开云端数据，而且实现了文件协作、共享及统一管理服务。方法1:使用w3mmaster下载地址: 好处:方法十分简单,可以修改大部分加密图坏处:bug比较多,随时容易出错(=.=,用前请备份原图),而且大部分和we不一样,很难上手.方法2:根据图的加密法来破解1.破坏性加密原理: 魔兽的地图是一个mpq压缩文件, 里面存放了一些游戏中和we中要用的数据, 其中一部分数据是只有we要用而游戏时不要用的, 我们可以将它们移掉, 造成启动we无法读到相关数据.破解可能: 由于需要的文件已经被移掉, 而jass->触发的还原难度非常大, 所以基本不能完全还原原来的地图.2.可还原式移动加密 原理: 根据上面一种方法的原理, 我们把地图里的一些文件改名为特殊的文件名或者移动到特殊的目录去, 并且删掉(listfile), 这个文件是用于获取mpq格式的文件里面的文件列表的, 这样we也无法读取到这些文件从而无法启动.方法: 根据一定的算法把密钥哈希成一个字符串, 然后把文件改名或者移动到用这个字符串生成的文件名里. 还原时只要有密钥就可以找到移动后的文件并还原.破解可能: 这些算法通常是md5等不可逆算法, 或rsa等大素数可逆算法, 加上我们根本连移动或改名后的文件名或路径都不知道, 基本很难破, 除非你知道密钥.3.可还原式破坏we显示加密 原理: we启动时和读取地图时会读取一些模型, 音乐, 贴图等, 如果我们导入一些错误的文件, 在we读取时会先读地图里的文件, 就会因为这些错误的文件而出错.破解可能: 如果你知道这个方法, 那么只要从地图里删除坏文件就可以了.记得删除地图内的文件需要使用mpqmaster,地址是 [展开]。

众所周知，MD5算法十分的脆弱，互联网上存在各种免费/付费的MD5加密/解密网站，短短几秒就能完成。来看看国外专家是怎么评价雅虎的泄露。

来自AgileBits的安全专家，Jeffrey Goldberg说：

其MD5哈希是否被加盐依然是个迷，因为雅虎在其声明中没有提及这一关键信息。这样的做法无疑将减少很多使用MD5带来的风险。

该方法用于获取 file 对象的哈希值，获取 file对象路径，再将字符串变成小写，再调用字符串的 hashcode 方法，最后与 1234321 进行异或运算，得到的值即为该文件的哈希值。内存泄露的另外一种情况：当一个对象被存储进hashset集合中以后，就不能修改这个对象中的那些参与计算哈希值的字段了，否则，对象修改后的哈希值与最初存储进hashset集合中时的哈希值就不同了，在这种情况下，即使在contains方法使用该对象的当前引用作为的参数去hashset集合中检索对象，也将返回找不到对象的结果，这也会导致无法从hashset集合中单独删除当前对象，造成内存泄露。每个哈希有自己的定位器, 因此处理不同的哈希的 each 调用可以嵌套. ... 使用 keys 或者 values 函数可以重置哈希的定位器. 另外用列表重置哈希内容时也可以重置定位器, 或者 each 调用遍历了整个哈希的时候也能重置. 然而在遍历哈希过程中增加新的键/值对就不太好, 因为这不会重置定位器, 反而会迷惑开发人员, 维护程序员, 另外还能愚弄 each.(p.114) 在 delete 之后, 键便不会出现在哈希之中, 但是存入 undef 之后键却一定会存在.。

Ty Miller（一家悉尼安全公司的董事）说：

MD5哈希算法已经被认为是不安全的加密算法，早20年前就已经被玩坏了雅虎邮箱后缀。

MD5碰撞在1996年的时候发现，发展于2005年。我认为像雅虎这种大公司使用MD5这种过时的加密算法的做法是欠考虑的，它给用户的承诺就是保护用户的数据不会泄露。

你怎么可以连盐都不加？

Goldberg曾在2012年LinkedIn泄露事件中指责没有在hash里加盐，他将这件事与雅虎的数据泄露联系起来。有兴趣的可以看看（传送门）：

针对LinkedIn，用了MD5还是SHA1算法可能都无所谓，而是他喵的根本没有添加盐值。就像我在2012年曾辩称，LinkedIn使用未加盐的哈希是不负责任的，这句话现在对雅虎也是适用的，如果他们的哈希确实是没有加盐的话。

在这次泄露的10亿账户中，除了100万雅虎用户的姓名、密码、生日、手机号，泄露的还包括备份电子邮件地址，甚至包括用于重置密码的安全问题和答案——关键某些安全问题和回答是还是未加密的。

所以，雅虎和我们强烈建议用户们尽快重置密码以及对应的安全问题。

当然，如果你在其它地方使用了相同的密码以及安全问题，也一起改了吧。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-102556-1.html