Kdo hacknul Yahoo? Analýza neukazuje na cizí státy
3.10.2016, Jan Vítek, aktualita
Společnost Yahoo nedávno zveřejnila, že z jejích serverů byly odcizeny údaje o cca 500 milionech lidí, což z tohoto hacku činí ten doposud největší v historii. Přímo přitom vyjádřila podezření, že za tímto činem stojí vláda cizího státu.
Velký útok na společnost Yahoo přinesl odcizení 500 milionů uživatelských účtů s loginy, hesly a jinými informacemi, přičemž Yahoo v té době soudilo, že musí jít o útok organizovaný vládou cizí země a pokud se mluví o něčem takovém, obvykle se tím myslí dva státy: Rusko a Čína. Nezávislá analýza však nyní ukazuje, že toto tvrzení má své trhliny a zaměstnanci Yahoo (aktuální i bývalí) začali poukazovat na to, že bezpečnost měla ve firmě jen malou prioritu.
Server InfoArmor zveřejnil celou časovou posloupnost a historii tohoto útoku na Yahoo a z toho jsme se také dozvěděli, že první nabídky na prodej ukradených dat se začaly objevovat již 3. dubna tohoto roku. Jisté osoby nabízely nejen data ukradená od Yahoo, ale také z Instagramu, LinkedIn, Dropbox, MySpace a Tumblr, přičemž tyto osoby mají dle InfoArmor jednat za zločinecké skupiny spíše než za agentury cizích zemí. Nicméně bylo také zdůrazněno, že tyto dva subjekty není vždy možné od sebe zcela oddělit, neboť právě zločinecké skupiny občas prodávají data cizím státům a také bývají jimi někdy přímo najaty.
Můžeme se podívat na celý graf ukazující na to, kdo byl do útoku na Yahoo zapojen. Účastníci jsou rozděleni do tří hlavních skupin, a to jednak na tzv. black hats z východní Evropy, což mají být hackeři hledající v tomto případě finanční zisk (zelená skupina). Dále tu je anglicky mluvící červená skupina, a sice "threat actors", kteří mají být za útoky přímo zodpovědní a nakonec tu je fialová skupina ukazující na potenciální kupce ukradených dat, což by již mohly být v důsledku cizí státy.
Analýza InfoArmor také ukázala celý rozsah toho, co bylo okradeno. Jde o ID pro login, hashe hesel (MD5), kódy zemí, e-maily pro ověřování hesel, data narození, čísla mobilních telefonů a poštovní směrovací čísla. Začalo se také vybarvovat to, jakou bezpečnostní infrastrukturu Yahoo využívá a jaké problémy představuje. Firma vytvořila svůj bezpečnostní tým až poté, co se objevily cílené útoky na jiné její služby, ale ani pak prý nenaslouchala tomu, co říkali její vlastní bezpečnostní experti a hlavního bezpečnostního experta (Chief Information Security Officer) hledala celý rok.
Konkrétně šlo třeba o to, že bezpečnostní tým se snažil zavést end-to-end šifrování, ale narazil na protesty viceprezidentů (především Jeff Bonforte), kteří říkali, že by to omezilo služby poskytované zákazníkům. Malou podporu měli i od samotné CEO Marissy Mayer, která nepodpořila ani to, aby se po případném velkém úspěšném útoku ihned a automaticky resetovala uživatelská hesla.
A proč to všechno? Prý prostě ze strachu před ještě větším odlivem zákazníků, neboť Mayer a jiní vedoucí pracovníci říkali, že i pouhý reset hesla může způsobit, že další zákazníci ztratí důvěru a půjdou jinam. Proto firma zákazníky nyní jen o útoku informovala, ale neučinila nic dalšího k zajistění lepší ochrany. Yahoo se s tím prostě vypořádalo jako pštros s hlavou v písku.
Zdroj: InfoArmor, Extremetech
Server InfoArmor zveřejnil celou časovou posloupnost a historii tohoto útoku na Yahoo a z toho jsme se také dozvěděli, že první nabídky na prodej ukradených dat se začaly objevovat již 3. dubna tohoto roku. Jisté osoby nabízely nejen data ukradená od Yahoo, ale také z Instagramu, LinkedIn, Dropbox, MySpace a Tumblr, přičemž tyto osoby mají dle InfoArmor jednat za zločinecké skupiny spíše než za agentury cizích zemí. Nicméně bylo také zdůrazněno, že tyto dva subjekty není vždy možné od sebe zcela oddělit, neboť právě zločinecké skupiny občas prodávají data cizím státům a také bývají jimi někdy přímo najaty.
Můžeme se podívat na celý graf ukazující na to, kdo byl do útoku na Yahoo zapojen. Účastníci jsou rozděleni do tří hlavních skupin, a to jednak na tzv. black hats z východní Evropy, což mají být hackeři hledající v tomto případě finanční zisk (zelená skupina). Dále tu je anglicky mluvící červená skupina, a sice "threat actors", kteří mají být za útoky přímo zodpovědní a nakonec tu je fialová skupina ukazující na potenciální kupce ukradených dat, což by již mohly být v důsledku cizí státy.
Analýza InfoArmor také ukázala celý rozsah toho, co bylo okradeno. Jde o ID pro login, hashe hesel (MD5), kódy zemí, e-maily pro ověřování hesel, data narození, čísla mobilních telefonů a poštovní směrovací čísla. Začalo se také vybarvovat to, jakou bezpečnostní infrastrukturu Yahoo využívá a jaké problémy představuje. Firma vytvořila svůj bezpečnostní tým až poté, co se objevily cílené útoky na jiné její služby, ale ani pak prý nenaslouchala tomu, co říkali její vlastní bezpečnostní experti a hlavního bezpečnostního experta (Chief Information Security Officer) hledala celý rok.
Konkrétně šlo třeba o to, že bezpečnostní tým se snažil zavést end-to-end šifrování, ale narazil na protesty viceprezidentů (především Jeff Bonforte), kteří říkali, že by to omezilo služby poskytované zákazníkům. Malou podporu měli i od samotné CEO Marissy Mayer, která nepodpořila ani to, aby se po případném velkém úspěšném útoku ihned a automaticky resetovala uživatelská hesla.
A proč to všechno? Prý prostě ze strachu před ještě větším odlivem zákazníků, neboť Mayer a jiní vedoucí pracovníci říkali, že i pouhý reset hesla může způsobit, že další zákazníci ztratí důvěru a půjdou jinam. Proto firma zákazníky nyní jen o útoku informovala, ale neučinila nic dalšího k zajistění lepší ochrany. Yahoo se s tím prostě vypořádalo jako pštros s hlavou v písku.
Zdroj: InfoArmor, Extremetech
