Найти в Дзене
Сбой системы
23 подписчика

Крупнейший взлом Yahoo: кража данных 3 миллиардов пользователей

7
3 мин
В 2013 году Yahoo ещё была гигантом. Почта, новости, Flickr, Tumblr. Сотни миллионов пользователей по всему миру. CEO Марисса Майер, бывший вице-президент Google, обещала возрождение. В это же время кто-то тихо копировал всю базу данных компании. Каждый аккаунт. Каждый пароль. Каждый секретный вопрос. 3 миллиарда записей. Yahoo узнала об этом только через три года. На самом деле это была не одна атака, а две. И они настолько переплелись во времени и расследованиях, что даже Yahoo долго не могла их разделить. Атака 2013 года — масштабнее всего, что видел интернет. Украдены данные всех 3 миллиардов аккаунтов Yahoo. Имена, email-адреса, даты рождения, телефоны, хэшированные пароли (многие — алгоритмом MD5, который считался устаревшим ещё в 2004 году), секретные вопросы и ответы — в незашифрованном виде. Атака 2014 года — более таргетированная. 500 миллионов аккаунтов. По данным ФБР, за ней стояли хакеры, связанные с иностранной разведкой. Оба взлома оставались невидимыми, пока в 2016 году
Оглавление

Империя, которая не заметила грабителей

В 2013 году Yahoo ещё была гигантом. Почта, новости, Flickr, Tumblr. Сотни миллионов пользователей по всему миру. CEO Марисса Майер, бывший вице-президент Google, обещала возрождение.

В это же время кто-то тихо копировал всю базу данных компании. Каждый аккаунт. Каждый пароль. Каждый секретный вопрос. 3 миллиарда записей.

Yahoo узнала об этом только через три года.

Анатомия двух взломов

На самом деле это была не одна атака, а две. И они настолько переплелись во времени и расследованиях, что даже Yahoo долго не могла их разделить.

Атака 2013 года — масштабнее всего, что видел интернет. Украдены данные всех 3 миллиардов аккаунтов Yahoo. Имена, email-адреса, даты рождения, телефоны, хэшированные пароли (многие — алгоритмом MD5, который считался устаревшим ещё в 2004 году), секретные вопросы и ответы — в незашифрованном виде.

Атака 2014 года — более таргетированная. 500 миллионов аккаунтов. По данным ФБР, за ней стояли хакеры, связанные с иностранной разведкой.

Оба взлома оставались невидимыми, пока в 2016 году данные не всплыли на чёрном рынке.

Как проникли внутрь

Атака 2014 года (раскрытая первой) использовала метод «spear-phishing» — целевого фишинга. Сотрудникам Yahoo отправили тщательно подготовленные письма с вредоносными ссылками. Достаточно было одного клика от одного сотрудника.

Получив доступ к внутренней сети, хакеры обнаружили User Database (UDB) и Account Management Tool. Они научились создавать поддельные cookies — маленькие файлы, которые подтверждают авторизацию пользователя. С этими cookies можно было входить в любой аккаунт без пароля.

Атака 2013 года — менее ясна. Полный масштаб стал известен только в октябре 2017 года, когда Verizon (уже купившая Yahoo) обнаружила, что первоначальная оценка «1 миллиард аккаунтов» была заниженной втрое.

Провал безопасности: системный

Расследования выявили системную деградацию безопасности Yahoo:

  • Компания отказалась внедрять сброс паролей после обнаружения взлома 2014 года. Руководство решило, что это «создаст неудобства для пользователей».
  • Шифрование паролей — MD5 без соли для значительной части базы. Это технология уровня 2000-х годов.
  • Секретные вопросы — «Девичья фамилия матери», «Имя домашнего питомца» — хранились открытым текстом.
  • Главный директор по информационной безопасности Алекс Стамос уволился в 2015 году, не добившись от руководства адекватных мер.

Yahoo знала о проблемах. Yahoo ничего не делала.

Бомба замедленного действия: сделка с Verizon

Взлом всплыл в самый неподходящий момент. В июле 2016 года Verizon объявила о покупке Yahoo за $4,83 миллиарда. Сделка века для увядающего интернет-гиганта.

Сентябрь 2016 — Yahoo публично признала взлом 2014 года (500 миллионов аккаунтов).

Декабрь 2016 — Yahoo призналась во взломе 2013 года (тогда оценка — 1 миллиард).

Октябрь 2017 — уточнение: 3 миллиарда. Все аккаунты. Каждый пользователь.

Результат? Verizon снизила цену покупки на $350 миллионов. Вместо $4,83 млрд — $4,48 млрд. Марисса Майер лишилась бонуса. SEC оштрафовала Yahoo на $35 миллионов — за то, что компания скрывала информацию от инвесторов.

Обвиняемые

В марте 2017 года Министерство юстиции США предъявило обвинения четырём лицам в связи со взломом 2014 года. Расследование показало, что за атакой стояла смешанная группа: киберпреступники, работавшие по найму, и хакеры, спонсируемые на государственном уровне.

Один из исполнителей был арестован международными правоохранительными органами и приговорён к 5 годам тюрьмы, остальные были объявлены в международный розыск по линии ФБР и Интерпола.

Уроки, написанные кровью данных

Yahoo — это не история про гениальных хакеров. Это история про организационную слепоту.

Компания, владевшая данными 3 миллиардов пользователей, экономила на безопасности. Использовала устаревшее шифрование. Хранила секретные вопросы открытым текстом. Игнорировала предупреждения собственных специалистов.

3 миллиарда аккаунтов. Три года незамеченного взлома. $350 миллионов скидки на сделке.

Когда ваш пароль — единственная стена между вами и злоумышленником, убедитесь, что его защищает не алгоритм из прошлого века.

Где-то в интернете до сих пор продаются данные, украденные из Yahoo. Если вы использовали Yahoo в 2013 году и не меняли пароли — самое время это сделать. Прямо сейчас.

Меняете ли вы пароли регулярно? Пользуетесь двухфакторной аутентификацией? Или всё ещё верите в надёжность секретного вопроса «Имя вашего первого питомца»? Делитесь своими фатальными сбоями в комментариях!

👉 Подписывайтесь на Сбой Системы — здесь технологии ломаются красиво.

#кибербезопасность #хакеры #утечка_данных #yahoo #it #технологии #информационная_безопасность #пароли #интернет #программирование

Цифровое ограбление века: как хакеры скачали базу из 3 миллиардов пользователей Yahoo, пока компания ничего не подозревала.
Цифровое ограбление века: как хакеры скачали базу из 3 миллиардов пользователей Yahoo, пока компания ничего не подозревала.