据担保公司Venafi表示,尽管在该公司最近确认2014年的数据泄露,但雅虎的安全仍然差。
9月22日,互联网公司表示,“最近调查”透露,受损的数据可能包含姓名,电子邮件地址,电话号码,出生日期,散列密码以及一些加密或未加密的安全问题和答案。
“通过战略主动检测举措和积极回应未经授权的账户访问,雅虎将继续努力继续在这些不断发展的在线威胁之前,并使我们的用户和我们的平台安全,”雅虎的首席信息安全官员鲍勃阁下,在Ablog Post说。
但是,根据Venafi实验室,雅虎没有采取必要的行动以确保用户仍然仍然暴露,并且黑客仍然无法访问其系统和加密通信。
研究人员发现雅虎仍在使用MD5加密散列函数,其中许多数字证书,注意到已知该算法几年易受攻击,并且遭受许多严重和记录良好的漏洞。
Venafi分析了来自TrustNet的数据,这是一个证书情报数据库的全球数据库,发现自2015年1月以来,外部雅虎网站上的27%的证书尚未重新发行。
根据研究人员,在违规之后更换证书是一个关键缓解实践,因为如果没有被替换证书,则违反组织不能确定攻击者没有继续访问加密通信。
在过去的90天内只发布了部署的519个证书的2.5%。根据Venafi的说法,很可能没有能力快速找到和替换数字证书,这是一个常见的问题,即使在具有重要在线存在的大型组织中。
Venafi研究人员发现,今天雅虎使用的所有MD5证书以及许多其他证书评估的venafi是自行发行的,并且一个当前的MD5证书使用了通配符证书(* .yahoo.com),并且有五年的到期日。
根据研究人员的说法,长期曝光日期的证书,那些自发出的人以及使用外卡的人都是弱密加密控制的症状。
他们还发现,TrustNet数据集中使用的41%的外部雅虎证书使用了SHA-1,这是一种散列算法,该算法不再被认为是安全的对抗的对手。主要的浏览器供应商表示,他们将在2017年1月停止接受SHA-1证书。
Venafi工程副总裁Alex Kaplunov表示,雅虎遭受的主要违规行为往往伴随着相对较弱的加密控制。
“为了确认这一假设,我们深入了解外部面对雅虎的Web属性以及这些网站如何使用加密的细节,”他说。“我们在这些属性上找到了对比较弱的加密实践。这并不奇怪。在我们的经验中,大多数企业,甚至全球品牌都有深层网络安全投资,都有薄弱的加密控制。“
Venafi产品管理和加密研究员的主任Hari Nair表示,雅虎发现的任何一个密码问题都会让任何组织都非常容易受到加密通信和认证的攻击。
他说:“集体,它们对雅虎是否具有保护加密通信所需的能见度和技术以及确保其客户隐私所需的知名度和技术,构成了严重的问题。”“我们的研究导致我们相信,弱密加动控制和整体网络安全姿势之间通常存在高度高度的共同关系。”
Venafi的首席安全战略家Kevin Bocek表示,攻击者能够抵抗5亿雅虎用户的数据意味着他们可能已经使用加密对雅虎进行加密,以确保他们的活动被公司的安全控制未被发现。
“除非他们有强大的加密实践,否则任何组织都几乎不可能检测到未经授权的加密流量,”他说。
Bocek强调,加密数据不足以确保安全和隐私。“必须合并一系列技术加密属性,以确保安全和隐私,这是一种原因,即尽管对各种类型的网络安全技术在网络安全技术方面,我们继续看到一个不断的重大违规流,”他说。
Bocek表示,雅虎在过去90天内未取代加密密钥和数字证书的事实,似乎没有对违约的协调响应。
“像MD5证书一样的已知漏洞与有五年到期日的通配符证书结合起来,明确表示雅虎缺乏深入了解其加密安全姿势,”他说。
Bocek警告说,使用加密来保护所有内容的组织 - 没有全面了解加密风险 - 无法对安全或隐私信任。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。