Взлом Yahoo: как это было

На прошлой неделе ФБР обвинило в совершении атаки четырех человек


11:57 20.03.2017   |   4385 |  Мартин Уильямс |  Служба новостей IDG

Рубрика Предприятие



Одного щелчка мышью оказалось достаточно, чтобы возникла крупнейшая брешь в системе защиты данных.

Всего один беспечный щелчок мышью. И этого хакерам, предположительно связанным с российскими спецслужбами, оказалось достаточно, чтобы получить доступ к сети Yahoo, а возможно, и к сообщениям электронной почты и прочей конфиденциальной информации полумиллиарда пользователей.

ФБР США занималось расследованием этого инцидента на протяжении двух лет, и лишь в конце 2016 года стал ясен весь масштаб взлома. На прошлой неделе ФБР обвинило в совершении атаки четырех человек, двое из которых считаются агентами российских спецслужб.

Вот как описывают произошедшее в ФБР.

Взлом начался с фишингового сообщения, отправленного в начале 2014 года по электронной почте одному из сотрудников Yahoo. Неизвестно, сколько всего электронных писем было отправлено, но один из получателей щелкнул по ссылке, и этого оказалось достаточно.

Латвийский хакер Алексей Белан, завербованный русскими, начал копаться в сети в поисках базы данных пользователей Yahoo и инструмента управления учетными записями Account Management Tool, использовавшегося для ее редактирования. Вскоре он нашел и то и другое.

Чтобы не потерять доступ, он запустил на сервере Yahoo вредоносную программу и похитил резервную копию базы данных пользователей, перенеся ее на свой компьютер.

В базе данных содержались имена пользователей, номера их телефонов, контрольные вопросы и ответы на них, а самое главное – адреса электронной почты для восстановления паролей и криптографические ключи, уникальные для каждой учетной записи.

Все это помогло Белану и его «коллеге» Кариму Баратову получить доступ к учетным записям пользователей, интересовавших Дмитрия Докучаева и Игоря Сущина, названных ФБР агентами российских спецслужб.

Инструмент для управления учетными записями не позволял осуществлять поиск по именам пользователей, поэтому хакеры обратились к адресам для восстановления доступа к электронной почте. Иногда им удавалось идентифицировать жертву по адресу, а иногда подсказкой служил корпоративный домен электронной почты интересовавшей их организации.

После идентификации учетных записей хакеры смогли воспользоваться украденными криптографическими ключами, сгенерировав необходимые для доступа cookie с помощью скрипта на сервере Yahoo. Соответствующие cookie, генерировавшиеся неоднократно в течение 2015-2016 годов, позволяли хакерам получать свободный доступ к учетной записи нужного пользователя даже без знания его пароля.

Белан и его коллега действовали весьма избирательно. Из 500 млн аккаунтов, к которым они могли бы получить доступ, cookie были сгенерированы примерно для 6,5 тыс. учетных записей.

Среди пользователей, чьи аккаунты подверглись взлому, были помощник вице-премьера Российской Федерации, офицер российского министерства внутренних дел, а также тренер, работающий в российском министерстве спорта. В числе прочих жертв — российские журналисты, официальные лица ряда государств, правительственные чиновники, швейцарский биткоин-кошелек и сотрудник авиакомпании из США.

Когда Yahoo впервые обратилась в ФБР в 2014 году, предполагалось, что целью хакеров были всего 26 учетных записей. И только в августе 2016-го, когда стал очевиден весь масштаб утечек, расследование ФБР значительно активизировалось.

В декабре 2016 года в Yahoo сообщили подробности выявленной бреши и посоветовали сотням миллионам пользователей сменить пароли.


Теги: Информационная безопасность Хакеры Yahoo
На ту же тему: