美國司法部周三表示，俄羅斯間諜和黑客聯手侵入了成千上萬個雅虎用戶帳戶。

這次泄密事件牽連到超過5億的雅虎帳戶，它也因此成為史上最大規模的黑客攻擊事件。

黑客們是如何做到的？

簡單地說，黑客們先設法弄到了一個包含雅虎帳戶的用戶名、加密密碼和其他信息的秘密目錄。然后，他們利用這些數據來欺騙雅虎的服務器，讓服務器以為這些用戶的網絡瀏覽器已經登錄了雅虎的網絡服務。這種做法很巧妙，因為這樣他們就不需要去解密用戶帳戶的密碼。

這個過程需要針對特定帳戶和創建虛假網絡憑證以模擬該用戶。在黑客世界里，這是最常規的攻擊方式，但是它有效。

司法部在聲明中詳細解釋了這種攻擊方式，這也是FBI調查的結果。

雅虎的黃頁和虛假cookie

司法部稱，最關鍵的步驟是臭名昭著的黑客埃里克西·埃里克西維奇·比蘭（Alexsey Alexseyevich Belan）侵入并偷走了至少一部分雅虎用戶數據庫的拷貝。

我們可以將這個數據庫看作是所有雅虎用戶的一種中央目錄或者黃頁。它包含了用戶名、加密密碼和其他個人信息。這個數據庫是一個本不該對外公開的秘密文件。

司法部在起訴書中寫到：“這個數據庫包括了手工創建或偽造帳戶認證cookie所需的信息。”

偽造cookie意味著什么？

當你訪問某個網站的時候，它會在你的電腦中留下一個被稱作cookie的小文件。這個小文件中保存著關于你的特定信息，包括你是否登錄了該網站以及你是用哪個帳戶登錄的。

當你再次訪問這個網站的時候，網站就會檢查你的電腦中是否存在合法cookie以及它是否過期了。

很多網站允許用戶將cookie的有效期設置成30天，只要cookie沒有過期，他們使用同一臺電腦和瀏覽器再次訪問網站時就無需輸入密碼。網站會讀取電腦中的cookie并且認為用戶已經登錄了。

黑客們就是利用他們偷走的目錄信息拿到了雅虎的cookie秘方。這意味著他們可以隨心所欲地為任何帳戶創建虛假cookie。這些虛假cookie可以欺騙雅虎郵件等服務，讓服務器認為這些用戶已經登錄了。就這樣，黑客們根本不需要破解和輸入密碼就能進入任何雅虎用戶帳戶。

司法部稱，黑客們利用這種方法侵入了6500個特定用戶帳戶，其中有很多是俄羅斯記者和政治家的帳戶。黑客們還利用3000萬帳戶發動了一次垃圾郵件攻擊，目的可能是為了賺到更多的錢。

影響范圍如此之大的黑客入侵事件是非常罕見的，更令人驚訝的是，黑客根本不知道你的密碼是什么。