Penggodam Yahoo tidak ditaja oleh negara, firma keselamatan berkata

Penjenayah biasa, bukan penggodam yang ditaja negara, melakukan pelanggaran data 2014 yang mendedahkan maklumat tentang berjuta-juta akaun pengguna Yahoo, Sebuah firma keselamatan berkata pada Rabu.

Yahoo telah menyalahkan pelakon negeri untuk serangan itu, tetapi ia sebenarnya adalah penggodam golongan elit yang melakukannya, menurut InfoArmor, yang mendakwa mempunyai beberapa maklumat yang dicuri.

Firma keselamatan bebas menemui data yang didakwa sebagai sebahagian daripada siasatannya kepada "Kumpulan E," satu pasukan lima penggodam profesional yang dipercayai dari Eropah Timur.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows anda "Menurut maklumat kami, kebanyakan pelanggan kumpulan itu adalah spammer," kata Andrew Komarov, ketua pegawai intelijen InfoArmor.

Pertikaian claim InfoArmor Perdebatan Yahoo bahawa "pelakon yang ditaja negara" berada di belakang pelanggaran data, di mana maklumat daripada 500 juta akaun pengguna telah dicuri. Beberapa pakar keselamatan telah ragu-ragu atas tuntutan Yahoo dan bertanya-tanya mengapa syarikat itu tidak menawarkan butiran lebih lanjut.

Pangkalan data yang InfoArmor hanya mengandungi "berjuta-juta" akaun, tetapi ia termasuk ID log pengguna, kata laluan, nombor telefon dan kod pos, kata Komarov.

Firma keselamatan mengatakan ia memperoleh data daripada "sumber pembedahan" kira-kira seminggu yang lalu dan telah mengesahkan bahawa maklumat akaun itu adalah benar. Komarov tidak akan mengatakan lebih lanjut mengenai bagaimana InfoArmor mendapat data.

Kumpulan E telah menjual pangkalan data Yahoo dicuri dalam tiga transaksi swasta, kata Komarov. Pada satu ketika, pangkalan data Yahoo dijual sekurang-kurangnya $ 300,000, katanya. Firmanya telah memantau aktiviti kumpulan selama lebih dari tiga tahun.

InfoArmor juga mendakwa bahawa Kumpulan E berada di belakang pelanggaran berprofil tinggi di LinkedIn, Dropbox dan Tumblr. Untuk menjual maklumat itu, pasukan itu telah menggunakan penggodam lain, seperti Tessa88 dan peace_of_mind, untuk menawarkan barang curi di pasaran hitam digital.

"Kumpulan itu benar-benar unik," kata Komarov. "Mereka bertanggungjawab untuk hacks terbesar dalam sejarah, dari segi pengguna yang terpengaruh."

Walau bagaimanapun, dalam hal pangkalan data Yahoo, yang telah diambil sebelum Disember 2014, Kumpulan E tidak menjadikannya umumnya tersedia pada pasar gelap, menurut Komarov. Kumpulan E mahu mengekalkan nilai pangkalan data. Penggodam lain telah mendakwa menawarkannya untuk dijual, tetapi mereka sebenarnya menjual maklumat palsu, katanya.

Yahoo tidak menjawab permintaan untuk komen.

Pakar keselamatan lain dibahagikan dengan penemuan InfoArmor.

Alex Holden, Ketua Pegawai Keselamatan Maklumat di Hold Security, berkata tuntutan InfoArmor kebanyakannya selaras dengan apa yang telah dijumpai dalam siasatannya sendiri. Bagaimanapun, beliau menambah, "Sekarang kita tidak tahu dengan penuh keyakinan yang berada di belakang pelanggaran asal pada tahun 2014, dan jika terdapat hanya satu pelanggaran."

Vitali Kremez, seorang penganalisis cybercrime di Flashpoint, lebih ragu dengan InfoArmor's penemuan. "Mereka mungkin telah melompat pistol itu terlalu awal," katanya.

Dia mempersoalkan kekeliruan antara pangkalan data yang diperoleh InfoArmor dan apa yang dikatakan oleh Yahoo dicuri. Sebagai contoh, Yahoo berkata kata laluan dengan algoritma bcrypt dan soalan keselamatan mungkin telah diangkat sebagai sebahagian daripada pelanggaran tersebut. InfoArmor data yang ditemui hanya mengandungi kata laluan dengan algoritma MD5, dan tidak menyebutkan soalan keselamatan, katanya.

"Yahoo berkata bahawa kata-kata yang dicuri digunakan bcrrip, kenapa mereka berbohong?" Kremez berkata. "Mungkin InfoArmor mempunyai set data yang berbeza."

InfoArmor Komarov berkata syarikatnya dengan senang hati bekerja dengan penguatkuasa undang-undang, Yahoo dan pihak-pihak bebas lain untuk memeriksa data yang dia sembuh. Contoh data tersedia dalam penemuan syarikat.

Perkhidmatan Berita IDG mencuba beberapa ID log masuk sampel dan mendapati bahawa Yahoo mengiktiraf beberapa. ID log masuk juga tidak kelihatan dikitar semula daripada pangkalan data yang lain yang bocor. Namun, Yahoo tidak mengiktiraf beberapa ID lain.

Komarov mengatakan bahawa walaupun kebanyakan klien Kumpulan E adalah spammer, mereka mempunyai sekurang-kurangnya seorang pelanggan yang merupakan pelakon yang ditaja oleh kerajaan. Pangkalan data Yahoo dicuri mungkin digunakan untuk menyasarkan pegawai kerajaan A.S., kata InfoArmor dalam laporannya.