23 岁的加拿大男子 Karim Baratov 去年承认和俄罗斯联邦安全局黑客合作在 2014 年对雅虎发动钓鱼攻击,导致五亿雅虎用户账号失窃,旧金山联邦法官本周宣布了判决:五年徒刑外加 25 万美元罚款。美国司法部去年指控两名俄罗斯联邦安全局特工和两名黑客参与了对雅虎的入侵。最初的攻击针对的是一名具有部分权限的雅虎雇员,方法是社交工程或钓鱼攻击,在获得这名雅虎雇员的凭证之后,攻击者对雅虎的内部网络进行了侦查,发现了两个关键的资源:雅虎用户数据库 Yahoo's User Database (UDB) 和管理工具 Account Management Tool。UDB 中的内容让攻击者能定位他们感兴趣的目标账号,而 Account Management Tool 让他们可以改变目标账号的密码。入侵者随后还发现了一个工具让他们可以伪造目标用户账号的 cookies,无需修改密码就能访问账号。
领取专属 10元无门槛券
私享最新 技术干货