Кібератака на Yahoo!
Кібератака на Yahoo! сталась наприкінці 2014 року. Зловмисникам вдалось викрасти інформацію про щонайменше 3 млрд облікових записів користувачів послугами компанії Yahoo! (пошта, тощо та інші портали, зокрема Flickr). Компанія публічно повідомила про проникнення до її інформаційних систем майже через два роки, 22 вересня 2016 року[1].
Це викрадення даних стало найбільшим відомим в історії Інтернету. Серед викраденої інформації є імена користувачів, адреси електронної пошти, номери телефоннів, зашифровані та незашифровані секретні питання з відповідями, дати народження та хеші паролів[2].
Спочатку було відомо про викрадення понад 500 мільйонів облікових записів користувачів. Згодом оцінку кількості викрадених облікових записів було збільшено до 1 млрд, а в жовтні 2017 року компанія визнала, що було викрадено всі 3 млрд облікових записів, в тому числі, користувачів інших порталів компанії, таких як Flickr[3]. 15 березня 2017 року міністерство юстиції США оприлюднило підозру чотирьом особам у цьому злочині. Двоє з підозрюваних — співробітники ФСБ — обвинувачені в організації хакерської атаки, для чого скористались послугами двох інших підозрюваних кіберзлочинців[4].
В листопаді 2017 року Карім Багатов, один з підозрюваних, визнав свою провину та зазначив, що діяв на замовлення та у співпраці з ФСБ[5].
Події
Компанія Yahoo стверджує у своїй заяві, що проникнення до її інформаційної системи здійснено «спонсорованими державою» зловмисниками,[6], але конкретна країна названа не була[2].
Вважається, що зламано та викрадено особисті дані облікових записів, включаючно з іменами користувачів, адресами електронної пошти, телефонними номерами, датами народження, хешованими паролями (переважно Bcrypt) і, в деяких випадках, зашифрованими або незашифрованими секретними питаннями та відповідями.[7][8] У заяві також стверджується, що хакери вже не в системі, і що компанія повною мірою співпрацює з правоохоронними органами.[9] Користувачам радять бути обережними при незвичайної активності в їх облікових записах, та звертати увагу на підозрілі листи.[1] Інформацію, отримана в результаті зламу особистої безпеки та отримання питань і відповідей, може допомогти хакерам зламати жертв інших онлайн-акаунтів.[10][11] Експерти з безпеки попередили, що інцидент може мати далекосяжні наслідки зачіпаючи приватне життя, у тому числі потенційно фінансову і банківську діяльності, а також особисту інформацію про життя людей, у тому числі інформацію, отриманої з будь-яких інших облікових записів, які можуть бути зламані за допомогою отриманих даних облікового запису.[1]
Компанія Yahoo рекомендує своїм користувачам змінити пароль і секретні питання та відповіді для свого облікового запису Yahoo, а також в будь-яких інших акаунтах, на яких однакові чи аналогічні дані були використані, переглянути свої профілі на підозрілу активність, остерігатись будь-яких небажаних повідомлень, які містять особисту інформацію і не натискати на посилання або завантажувати вкладення з підозрілих листів.[8] Експерти з комп'ютерної безпеки зазначають, що у викраденій базі даних може бути інформація про мільйони людей, користувачів Flickr, Sky і BT, які можуть навіть не уявляти, що у них є обліковий запис Yahoo!.[12] Або користувачів Yahoo, які припинили користуватись послугами компанії роками раніше[11][13][14][15].
Станом на 26 вересня було невідомо, скільки часу компанії знала про несанкційоване проникнення до її інформаційних систем.[9] Yahoo на підтвердження викрадення даних пішло майже два місяці. Після того, компанія заявила, що розслідувала те, що хакер, під назвою «Peace_of_mind» або «світ», який раніше продав дані вилучені з мережі LinkedIn, Twitter і MySpace,[16][17] пропонував вкрадені дані облікових записів 200 мільйонів користувачів Yahoo за 3 біткоїни, (менше $ 2000) на чорному ринку, «TheRealDeal».[18][19][20] Представник Verizon Communications, яка вирішила купити Yahoo! в липні 2016 року, заявив, що Verizon тільки стало відомо про порушення протягом останніх двох днів.[2] Компанія Verizon запропонувала $4.83 млрд у липні 2016 року для основних власників Yahoo!.[21]
Марісса Маєр, генеральний директор компанії Yahoo, було відомо про дані порушення, щонайменше, з липня 2016 року, але вона приховувала інформацію від інвесторів, регулюючих органів і Верізон до вересня.[22] 9 вересня в Yahoo заявили що вони не знав ні про яке «порушення безпеки» або «втрати, крадіжки, несанкціонованого доступу або придбання» даних користувачів.[23][18][24]
Декілька експертів, які вивчили питання, вважають, що порушення безпеки було найбільший подібний інцидентом в історії Інтернету.[2][21]
Інші дійові особи, які мають доступ до даних Yahoo, і більше включають в себе Агентство Сполучених Штатів з національної безпеки (АНБ), який має доступ до даних компанії за допомогою програми спостереження PRISM, а також іншими методами. За аналогією з порушенням, АНБ і ЦПС таємно розбиті на основні ліній зв'язку, які з'єднують Yahoo і Google центрів обробки даних по всьому світу в MUSCULAR програмі Великої Британії і тим самим отримали можливість збору метаданих та контенту за власним бажанням від сотень мільйонів облікових записів користувачів.[25][26][27][28][29]
Атрибуція та можлива мотивація
За даними Yahoo, несанкційоване проникнення до її інформаційних систем було здійснено зловмисниками «з підтримкою держави»[9] і організація стверджує, що таких «вторгнень і крадіжок за державної підтримки суб'єктів стають все більш поширеним явищем в технологічній галузі».[10] у той час як Yahoo не назвала конкретну країну, деякі експерти називають Китай та Росію[2][30][31].
Американські видання з посиланням на анонімні джерела в розвідувальних органах, наголосили на тому, що даний інцидент схожий на попередні кібератаки, відповідальність за які покладають на російський уряд[2]. Yahoo в 2014 році, виявило невелику атаку "за участю 30 до 40 акаунтів", проведеної хакери, що імовірно «працюють від імені російського уряду», — повідомляє керівник Yahoo, тому що вона був запущена з комп'ютерів в цій країні. Компанія Yahoo повідомила про інцидент в ФБР в кінці 2014 року і повідомила постраждалих користувачів.[32]
Шон Салліван, радник з питань безпеки в кібер-безпековій фірмі F-Secure заявляє, що як свого головного підозрюваного оголошує Китай і зазначає, що «не було ніяких минулих випадків, щоб постачальник послуг подібний до Yahoo був мішенню [з боку Росії]», чиї хакери, зазвичай, здійснюють цілеспрямовані атаки, в галузях, що мають важливе значення для їх економіки, таких як енергетичний сектор, а останнім часом до політики. У той час як «Китай любить всі види інформації» і «має ненаситний апетит для особистої інформації».[33] Прикладом підтримання державою викрадення даних Китаєм є підозри в масовому викраденні даних[34] 18 млн чоловік зі бази даних Офісу управління кадрами і атака на Google в 2010 році, що отримала назву операція «Аврора»[33].
Інші експерти висловили сумнів у причетності державних кіберпідрозділів до атаки на Yahoo. На їхню думку, в такий спосіб компанія намагається приховати власну некомпетентість, адже стати жертвою кібератаки з боку державних або підтримуваних державою хакерів не так принизливо[30]. старший науковий співробітник Кеннет Гірс компанії Comodo, однак, зазначає, що «Yahoo є стратегічним гравцем на світовій павутині, що робить його гарним і допустимим об'єктом для національної держави по збору і обробці інформації».[30]
Компанія InfoArmor, що спеціалізується на послугах з кібербезпеки опублікувала доповідь[35], чиє ув'язнення оспорюється Yahoo на позиції, що держава-нація актор організував пограбування після перегляду невеликий зразок зламаних акаунтів. Згідно з повідомленням, порушення було працювати в Східно-Європейської злочинного угруповання, які пізніше продали весь зламані бази даних як мінімум три клієнта, в тому числі спонсоровані державою групи і з початку 2015 року більше не пропонують продати повну базу даних, але не прагне «взяти щось зі звалища через значні суми грошей» з діапазоном цін на основі значення цільової. Важко зрозуміти, хто головний геній злому може бути як хакери іноді надавати інформацію уряду спецслужби і пропонують свої послуги за наймом. Андрій Комаров, фірми головний розвідник розповів хакерів, що отримала назву Група e, є досвід у продажу крадених особистих даних в мережі були раніше пов'язані з порушеннями на LinkedIn, tumblr і Вконтакте.[36] У компанії з'являється доступ до частини Yahoo в базі. Він успішно дешифрувати паролі на 8 з 10 Yahoo рахунків, наданих Уолл-Стріт Джорнал протягом дня, і за умови особистої інформації, пов'язаної з рахунками. За даними слідства, Група e був джерелом деяких баз даних продається двох хакерів, під назвою «Tessa88» і «спокій»[23], які хакерська група «використовується […] домогтися дані».[18] за даними InfoArmor, «Яху витоку даних, а також інших помітних експозицій, відкриває двері значні можливості для кибершпионаж і цільові атаки відбувається» і може бути ключем в кілька цільових атак проти американських державних службовців, в результаті яких після розкрита контакти постраждалих високопоставлених співробітників розвідувального співтовариства відбулося в жовтні 2015 року.[35][37]
Хак 2012 року
Згідно з інтерв'ю проводове через зашифрований, анонімний обмін миттєвими повідомленнями з особою, яка продає рахунку в темній мережі, «Peace_of_mind», злам в 2012 році було зроблено за допомогою «команди росіян».[16]
На питання про те, як він отримав ці дані і чому тільки зараз продає, «Peace_of_mind» відповідає:
Well, these breaches were shared between the team and used for our own purposes. During this time, some members started selling to other people. The people who we sold to [were] selective, not random or in public forums and such, but people who would use [the data] for their own purposes and not resell or trade. Although [after] long enough, certain individuals obtained the data and started to sell [it] in bulk ($100/100k accounts, etc.) in the public. After noticing this, I decided for myself to start making a little extra cash to start selling publicly, as well.
І чому команда не хотіла продавати всю колекцію раніше:
Це не вигідно, якщо дані оприлюднені. У нас було своє застосування і інші покупці. Крім того, покупці бажають, що цей тип даних був збережений в секреті як можна довше. Є багато [баз даних] не оприлюднені з цієї причини і вони використовуються протягом багатьох років.
І на питання, як йому вдалося заробити, продаючи дані в приватному порядку:
Ну, в основному дані використовуються для спаму. Існує багато грошей, щоб бути там, а [також] у продажу для приватних покупців, які шукають конкретні цілі. Як добре, пароль повторного використання —як видно останнім часом заголовки рахунок поглинання гучних людей. Багато хто просто не використовує різні паролі, що дозволяє складати списки на Netflix, PayPal, Amazon.com і т. д. продати оптом. (50к/100К/і т. д.)
Як онлайн чорний ринок сайт TheRealDeal був під розподілена відмова в обслуговуванні атаки (DDoS-атаки) станом на 22 2016,[18] статус лістинг був невідомий.
Розслідування та наслідки
Порушення запропоновано два позови проти Yahoo!. У позові, поданому до окружного суду США по Південному округу штату Каліфорнія в Сан-Дієго, позивачі стверджують, що зламати викликала «вторгнення в особистих фінансових питаннях». В іншому позові, поданому до окружного суду США Північного округу штату Каліфорнія в Сан-Хосе, позивач стверджує, що Yahoo діяв з грубою необережністю у поводженні з і обліку порушень безпеки. Yahoo відмовився коментувати поточний судовий процес.[21]
У листі до Yahoo головний виконавчий директор Марісса Маєр, шість сенаторів-демократів (Елізабет Воррен, Патрік Лехі, Ел Франкен, Річард Блюменталь, Рон Вайден і Ед Маркі) вимагали відповідей на коли Yahoo виявлені порушення, і чому це зайняло так багато часу, щоб розкрити для громадськості, називаючи часовий розрив між порушенням безпеки та її розкриття «неприйнятною».[38][39][40]
Федеральне бюро розслідувань (ФБР) підтвердило, що розслідує справу[2].
Виконавчий директор компанії Verizon Communications Лоуелл Макадам заявив, що він не був шокований зламом — за його словами, «ми всі живемо в світі інтернету, питання не в тому, чи буде ваші дані зламано, а коли». Він залишив відкритою можливість переглянути попередню оцінку контракту в $4.83 млрд[41]. Крейг Силлиман, Verizon в загальному адвокат сказав журналістам у Вашингтоні, що Verizon має «достатні підстави вважати, що вплив матеріалів» і що вони «дивляться на Yahoo, щоб продемонструвати […] повної віддачі». Репутація компанії постраждала в інтернеті в останні кілька місяців, за оцінками маркетингової компанії Spredfast: близько 90 відсотків Твіттері коментарі про Yahoo були негативними в жовтні в порівнянні з 68 % в серпні, перед новинах злому.[42]
28 жовтня регулятор ЄС із захисту приватності інтернет-користувачів у листі до Yahoo! висловив побоювання з приводу викрадення даних користувачів 2014 року, а такожпро повідомлення про співпрацю компанії з розвідувальними органами США. Вони також попросили компанію надати вичерпну інформацію про інцидент, а також повідомити своїх користувачів про викрадення їхніх особистих даних та які це може мати для них загрози. Також вони закликали компанію до співпраці зі слідчими та регуляторними органами країн-членів ЄС стосовно цього інциденту[43].
Примітки
- Perlroth, Nicole (22 вересня 2016). Yahoo Says Hackers Stole Data on 500 Million Users in 2014. The New York Times. Процитовано 22 вересня 2016.
- Yahoo 'state' hackers stole data from 500 million users. BBC News. 23 вересня 2016. Процитовано 23 вересня 2016.
- Daniel AJ Sokolov (04.10.2017 ). Rekordhack bei Yahoo war drei Mal so groß. Heise Security.
- Brian Krebs (15 березня 2017). Four Men Charged With Hacking 500M Yahoo Accounts. Krebs on Security.
- Canadian Hacker Who Conspired With and Aided Russian FSB Officers Pleads Guilty. Міністерство юстиції США//Department of Justice. 28 листопада 2017.
- Tsukayama, Hayley; Timberg, Craig; Fung, Brian (22 вересня 2016). Yahoo confirms data breach affecting at least 500 million accounts. Процитовано 22 вересня 2016.
- Newcomb, Alyssa (22 вересня 2016). Yahoo Says 'State-Sponsored Actor' Hacked 500M Accounts. NBC News. Процитовано 22 вересня 2016.
- Account Security Issue FAQs. Yahoo!. Процитовано 23 вересня 2016.
- Yahoo confirms data breach affecting at least 500 million accounts. The Washington Post. 22 вересня 2016. Процитовано 22 вересня 2016.
- Yahoo says ‘state-sponsored’ hack stole personal data from 500m accounts. The National. Процитовано 25 вересня 2016.
- Weise, Elizabeth. Are you a Yahoo user? Do this right now. USA Today. Процитовано 25 вересня 2016.
- Brown, Aaron. If you're a Sky or BT customer – you need to reset your password NOW after Yahoo hack. Sunday Express. Процитовано 25 вересня 2016.
- Isidore, Chris. You could have a Yahoo account without even knowing it. CNN. Процитовано 25 вересня 2016.
- Joseph, Rebecca. Here’s what you need to know about the Yahoo hack. GlobalNews. Процитовано 25 вересня 2016.
- Griffin, Andrew. Yahoo hack: Hundreds of millions of people probably don’t know they are part of the world’s biggest data breach. The Independent. Процитовано 25 вересня 2016.
- Greenberg, Andy. An Interview With the Hacker Probably Selling Your Password Right Now. WIRED. Процитовано 22 вересня 2016.
- Cox, Joseph. The Administrator of the Dark Web's Infamous Hacking Market Has Vanished. Vice Motherboard. Процитовано 22 вересня 2016.
- Szoldra, Paul. The dark web marketplace where you can buy 200 million Yahoo accounts is under cyberattack. Business Insider. Процитовано 22 вересня 2016.
- Brian, Womack. Yahoo Says at Least 500 Million Accounts Breached in Attack. Bloomberg. Процитовано 22 вересня 2016.
- Cox, Joseph. Yahoo 'Aware' Hacker Is Advertising 200 Million Supposed Accounts on Dark Web. Vice Motherboard. Процитовано 25 вересня 2016.
- Larson, Selena (23 вересня 2016). Yahoo facing lawsuits in the wake of massive data breach. CNN. Процитовано 25 вересня 2016.
- Taylor, Harriet (23 вересня 2016). Yahoo CEO Mayer knew about data breach in July: Report. CNBC.
- McMillan, Robert. Yahoo Hackers Were Criminals Rather Than State-Sponsored, Security Firm Says. The Wall Street Journal. Процитовано 15 жовтня 2016.
- In September, Yahoo told Verizon it hadn't been hacked — but executives may have known for months. Business Insider. Процитовано 15 жовтня 2016.
- Barton Gellman; Ashkan Soltani (30 жовтня 2013). NSA infiltrates links to Yahoo, Google data centers worldwide, Snowden documents say. The Washington Post. Процитовано 31 жовтня 2013.
- Barton Gellman; Todd Lindeman; Ashkan Soltani (30 жовтня 2013). How the NSA is infiltrating private networks. The Washington Post. Процитовано 31 жовтня 2013.
- Barton Gellman; Matt DeLong (30 жовтня 2013). How the NSA's MUSCULAR program collects too much data from Yahoo and Google. The Washington Post. Процитовано 31 жовтня 2013.
- Peterson, Andrea (30 жовтня 2013). PRISM already gave the NSA access to tech giants. Here's why it wanted more.. The Washington Post. Процитовано 31 жовтня 2013.
- NSA statement on Washington Post report on infiltration of Google, Yahoo data center links. The Washington Post. 30 жовтня 2013. Процитовано 31 жовтня 2013.
- Solon, Olivia. China and Russia lead list of Yahoo hack suspects — but some doubt theory. The Guardian. Процитовано 25 вересня 2016.
- U.S. Suspects Hackers in China Breached About 4 Million People’s Records, Officials Say. The Wall Street Journal. Архів оригіналу за грудень 17, 2016. Процитовано 26 вересня 2016.
- McMillan, Robert. Yahoo Executives Detected a Hack Tied to Russia in 2014. The Wall Street Journal. Процитовано 25 вересня 2016.
- Murgia, Madhumita. Cyber experts look to usual suspects in Yahoo hack. Financial Times. Процитовано 25 вересня 2016.
- Nakashima, Ellen. National Security Chinese breach data of 4 million federal workers. The Washington Post. Процитовано 25 вересня 2016.
- InfoArmor: Yahoo Data Breach Investigation. Процитовано 15 жовтня 2016.
- Here's Who Hacked Yahoo, According to One Cybersecurity Firm. Fortune. Процитовано 15 жовтня 2016.
- Womack, Brian. Yahoo Hacked by Criminals, Not State Sponsor, Security Firm Says. Bloomberg. Процитовано 15 жовтня 2016.
- Letter to Marissa Mayer signed by 6 senators. leahy.senate.gov. Процитовано 30 вересня 2016.
- Fisher, Dennis. Senators Demand Answers of Mayer on Yahoo Data Breach. OnTheWire. Процитовано 30 вересня 2016.
- Kuchler, Hannah. US senators demand answers from Yahoo. The Financial Times. Процитовано 30 вересня 2016.
- Verizon CEO Says Evaluating Whether Yahoo Hack Had ‘Material Impact’. The Wall Street Journal. Процитовано 15 жовтня 2016.
- Verizon Says Yahoo Hack Could Reopen $4.8 Billion Deal Talks. The New York Times. Процитовано 15 жовтня 2016.
- Julia Fioretti, Susan Fenton, Mark Potter (28 жовтня 2016). EU data protection watchdogs warn WhatsApp, Yahoo on privacy. Reuters.