Connect with us

每週話題

雅虎五億用戶資料遭外洩 ——分析背後黑客的動機

雅虎五億用戶資料遭外洩

——分析背後黑客的動機
文:本刊編輯部

圖:維基百科/蘋果日報

上週四(9 月22日),美國雅虎(Yahoo)證實有逾五億用戶資料被黑客盜竊,被視為網絡史上最大規模的個人資料失竊案。駭客竊取的個人資料包括姓名、電子郵件帳號、生日、電話號碼和加密密碼。最令人憂心的是,事件原來已經發生接近兩年但雅虎兩年來對事件毫不知情,直到今年7月初,俄羅斯黑客團隊「Peace」在地下網絡上兜售2億多個雅虎帳號並開價3個比特幣(約1860美元),雅虎才醒覺展開調查。在「Peace」公開的部份「範例」帳號資料中列有用戶名稱、電郵地址、以MD5加密的密碼、出生日期以及備用電郵。

如何保障自己的資料?
雅虎一直深受用戶歡迎,是次黑客攻擊事件曝光後,雅虎建議有需要用戶或自2014年起未有更改密碼的用戶盡快換改密碼,並時刻留意帳戶是否有不尋常活動。但有不少擔心個人資料安全的用戶決定取消在雅虎上的帳號,更有心思細密的用戶決定動手更改使用在其他網站的登入資料,其中包括Gmail,銀行帳號和網上購物平台。

今次黑客事件規模龐大,保護除雅虎以外的個人資料尤其重要。不少人為求方便會用設定相同的登入名稱和密碼為其在網絡平台上的登入資料,為了保障個人資料安全,恐怕要為所有跟雅虎帳號,或類似登入名稱和密碼的其他網站帳號更改密碼,還有保安問題等。

留意帳號在過去有否試過有不尋常的登入舉動;提防所有來自非官方的網站查問你的個人資訊,或引導你輸入個人資料的網頁;最後遇到可疑的電郵,不要點擊內裡的連結或下載任何附件。

有不少人認為,事隔兩年,有危險一早已經發生﹔亦有持不同觀點人士稱,由於資料已被竊取逾兩年之多,用戶資料現正處於極度危險狀態。其實用戶難以辨認出自己是否包括在5億受影響用戶之內,對於作出事後補救困難度增加,現在可行的方法只有盡量減低損失,盡快為其他使用一致密碼的帳號變更密碼。

雅虎後知後覺?

根據雅虎報導,他們事前不知道用戶資料被竊一事,直到今年7月收到消息有駭客在地下網絡上兜售2.8億項雅虎用戶名稱和密碼才得悉事件的始末。隨即在 8 月展開調查,發現黑客除了已知的2億條用戶資料,還有大面積的失竊,總數約有5億條個人資料被盜,攻擊規模是歷年來最大,雅虎懷疑黑客背後有國家的支持,雅虎現正全力協助相關執法部門調查,調查結果暫時沒有顯示出黑客仍殘留在雅虎網絡內。

有分析指出,雅虎在7月得悉用戶資料被竊,隨後的調查活動可用幾週甚至幾個月的時間完成。黑客都有著高超的反追蹤技巧,就算是雅虎這類型的大企業也未能如願追查出黑客的位置。再者,雅虎為保障自己只會向大眾公開已確定的資料,不會擅自公佈對自己不利的消息,特別是他們現正處於與通訊公司威瑞森(Verizon)的買賣階段,更不能魯莽行事,公司的公關部門必與法律部門合作控制公佈的內容。雅虎沒有向公眾披露黑客是透過什麼渠道入侵網路,或是具體指出黑客是由哪個國家幕後指使。早前亦有同樣事件發生,俄羅斯也被控入侵美國民主黨全國委員會的服務器,擾亂了今年的美國總統競選,但俄羅斯當局矢口否認。

有人質疑雅虎這間國際企業為何會在事發兩年後才發現事件。美國紐約居民施瓦茲(Ronald Schwartz)代表所有受影響的美國用戶提出集體訢訟,要求雅虎就涉密事件負責,向受影響用戶提供賠償,理由是雅虎並沒有嚴密地為用戶安全而把關,違反不公平競爭法與加州消費者法律救濟法﹔疏忽執行基本資料安全協議,違反聯邦儲存通訊法。雅虎目前還沒有就事件作出回應。

縱使雅虎已在察覺事件後第一時間補救,但在黑客盜竊資料後的兩年才發現讓人感覺雅虎作為一家資訊科技企業來說太不專業,而且7月初發現到9月才對外公佈,雖則調查需時,但花費時間太長,會影響外界對雅虎的效率觀感。

科技日新月異,國際對於黑客的防衛戰會因為科技進步而逐漸升級。正所謂「你有張樑計,我有過牆梯」,網站防衛保護在提升時,不要忘記黑客也在提升自己的裝備,兩者同時在進步,雙方的難易度會隨著時間增加。

雅虎有沒有好好保護用戶資料,這事公眾無法得知,反方面來想,不排除有可能是雅虎已經達到高度資料保護的程度,但黑客仍能攻入,這能否為事件注入新角度呢?

黑客的神秘面紗


今次事件中黑客主 導了整個事件。黑客對於外界是一個神秘的存在,沒有人清楚知道他們想得到什麼。他們有著各式各樣的理由,有些出發點是為了炫耀自己,如阿德里安拉莫(Adrian Lamo)在美國多次成功入侵微軟、雅虎以及紐約時報等網站的伺服器並篡改了其首頁,但沒有破壞性行動;有些是為國家服務,如中國黑客組織「紅客」在2011年南海問題期間因被越南攻擊而反擊多個越南網站,被攻陷並掛上中華人民共和國國旗;有些是為了牟利,如弗拉基米爾列文(Vladimir Levin)領導俄羅斯駭客組織詐騙花旗銀行1000萬美元;有些是為正義發聲,如國際黑客組織「匿名者」多次向站在社會不公義的陣線上攻擊對手。

提到黑客,不可不說最具代表性的組織是「匿名者」,它是全球最大黑客組織,會員制度對外開放,只要理念相同,任何人都可以宣稱代表或屬於該組織。他們於2003年成立,主張公民抗命、反電腦監控、和反網路審查,他們以非牟利形式發動了多次國際網絡攻擊,其攻擊對象全是在當時社會上有著負面的輿論,為社會伸張正義,例如在支援維基解密上,攻擊那些與維基解密斷絕往來的公司網站;在香港雨傘運動上,攻擊香港建制派、香港政府新聞處等官網以表示不滿政府用武力反擊手無寸鐵的示威者;在對抗極端組織伊斯蘭國(ISIS)上,號召全球黑客一齊攻擊ISIS的網上宣傳空間。

人際溝通早在19世紀初開始由人傳人演變成以電報作跨地區性交流,電腦的出現推動電郵普及。原本的電郵運作十分簡單,原理是把兩台同時在線的電腦以網絡連接起來,讓發信人和收件人可即時互動,除了消除地域限制外,其時間性也是重點之一。

全球資訊網(World Wide Web)在1990年被發明,全球網絡用戶可在線上任意提取和發放資源。它就像為用戶開啟了一道門,而這道門歡迎全球所有人士進入,包括黑客。自從黑客攻擊出現後,人們一方面想繼續享用網絡的便利,一方面想要停止黑客在網站上進行惡意攻擊。但世界總不會完美的,網絡自由所提倡的是指歡迎所有人士隨便進出網站,如要忠於網絡自由,便不可能選擇訪客。這也是黑客的存在與網絡世界本身的矛盾。

資料泄密已不是新鮮的新聞,身份盜取更是全球聚焦但不能杜絕的問題。現在問題只聚焦於網絡安全已經為時已晚,上文提到黑客的目的並非單一,他們出發點很多,現在應該更進一步去探討黑客如何處理盜回來的用戶資料。

黑客曝光資料的動機
上文交代到雅虎事前並不知情,那為什麼「Peace」要選擇在此時此刻在地下網站上販賣資料呢?回顧雅虎在今年7 月初同意將雅虎搜尋引擎、電子郵箱等核心網絡業務以48.3億美元售予通訊公司威瑞森(Verizon)。黑客選擇在8月公開兩年前洩取的用戶資料看起來動機不尋常,讓人有意無意地聯想兩起事件之間的關連。

威瑞森在上週初才得悉洩密事件,對所掌握的資料有限,聲明會在雅虎調查期間多角度評估事件。紐約投資公司SunTrust分析師裴克表示今次黑客入侵竊取用戶資料事件有利於Verizon的收購行動,威瑞森可能會因此向雅虎壓價一億至二億美元。被壓價可謂不幸中之大幸,嚴重後果可因交易遭到「重大不利變化」損害而導致收購案全數泡湯。

一般在重大交易合約中會白紙黑字列明「重大違約」的條文保障賣家。意思是,買家不能因外在因素,如發生全球政治事件或恐怖襲擊而放棄交易。但個別情況像是今次大型的洩密事件,威瑞森可提出「重大不利變化」的理由而駁回收購案行動。

今次雅虎資料外洩事件被雅虎官方證實是在2014年被盜,翻查記錄顯示,俄羅斯黑客「Peace」於2012年也竊取了  3.6億條MySpace用戶資料,1億VK用戶資料,7100萬筆的Twitter用戶資料,以及6800萬筆的Tumblr用戶資料。和1.67億條LinkedIn的用戶登入資料。

來自美國網站Wired對黑客曝光資料的動機作出了報導。他們透過地下交易網站The Real Deal的傳訊系統採訪了「Peace」,它稱資料竊取後暗地裡會和買方進行交易,它認為資料一曝光便失去價值,因此遲遲不公開售賣。直至最近察覺出過住買家開始拋售手上的資料,而誘發它公開販賣。它稱販賣這些個人資料可讓它每月獲利近2.5萬美元。另一方面看,黑客也許憑藉販賣來牟利。

解讀黑客其他的目的
今次雅虎遭黑客入侵顯然是不法之徒牟利的手段。但是否所有黑客組織都以牟利為主呢?俄羅斯網絡間諜組織Fancy Bear早前在網頁發表聲明稱入侵世界反禁藥組織(WADA)的數據庫,竊取運動員服用藥物的資料亦公開部分里約奧運會中美國運動員的服藥資料,披露許多運動員曾經服用禁藥但沒有被反禁藥組織檢控。文件中顯示有部分的運動員在比賽其間以治療為由服食禁藥,事件令人反思世界反禁藥組織和國際奧委會的內部腐敗問題。

該組織在網站上發布多份屬於美國選手的醫療報告,包括體操皇后拜爾絲(Simone Biles)、網球姊妹花莎蓮娜威廉絲(Serena  Williams)和雲露絲威廉絲(Venus Williams)、以及女子籃球艾琳娜多恩(Elena  Donne),指她們得到世界反禁藥組織的允許以治療為明,暗地裡服用禁藥。組織又指,令他們感到驚訝的是數據庫內總共有十多位美國運動員被驗出服用禁藥,沒有遵守公平競爭的體育精神,因此決定上載文件到網站供大眾閱覽,意圖撕開奧運會背後黑暗。

而世界反禁藥組織方面表示,他們相信黑客入侵資料庫是為了報復捲入禁藥風波的俄羅斯運動員。其他也有國際網球總會、美國體操協會和國際奧委會均以損害運動員聲譽為主,齊聲譴責組織洩露運動員私人資料。

俄羅斯政府發言人則宣稱事前並不知道黑客的行動,並對外宣稱和俄羅斯特工機構無關,面對千夫所指,俄羅斯大可以放任不管是次事件,令人百思不得其解是俄羅斯總統普京卻在公開表示Fancy Bear揭露里約奧運的禁藥內幕為大眾揭示了不少問題,普京的立場穩穩若若為Fancy Bear護航。

今年里約奧運中俄羅斯選手被多次檢驗出對禁藥顯示出呈陽性反應,多位選手被禁賽,包括全體殘障運動員。大部分人相信,組織Fancy Bear的行動很大機會是為了報復俄羅斯在里約奧運中被禁賽。由此可證實,黑客的目的各有不同,每個黑客組織有不同的宗旨。

就這次洩密風波來看,逾接近兩億的用戶資料在地下市場只售1860美元,可見在現實社會中被我們視為珍寶的個人資料在地下市場上顯得微乎其微。對於只利用個人信息牟利的黑客,我們無處可藏,網站公司顯然沒有做好保障用戶資料的防備。現時能做的只有提高自己的警覺性,不同的網站設定不同的密碼,保障日後能減低黑客能廣泛地提取資料的可能性。

Continue Reading