首先我們來前情回顧一下，2016年7月，美國無線運營商Verizon宣布以48.3億美元的價格收購雅虎的核心業務，包括電郵、搜索、廣告和網站等。好巧不巧，當年9月份和12月份，就相繼爆出雅虎信息泄露事件，第一次稱被盜取了5億用戶數據，第二次則是10億用戶數據被盜，雅虎承認并建議數億用戶更改密碼。

這被黑的事還是從2014年開始的，據說直到這些資料被拿到黑市上售賣，雅虎才知情。在它單方面表示很“委屈且蒙圈”的同時，也致使Verizon對其核心業務收購事宜暫時停擺，卯足了勁兒地殺價，最終以44.8億美元成交，成功砍價3.5億美元。

當然收購已成定局，這里我們不再贅述。而在本周三，雅虎信息泄露事件也終于明朗化，美國FBI以雅虎網絡入侵事件為由起訴四人，其中兩人為俄羅斯間諜，現在我們終于可以扒一扒2014年，他們是如何黑進雅虎的？

一言概之曰：著了釣魚郵件的道。一次錯誤的點擊就是黑客利用俄羅斯國家安全服務獲取訪問雅虎網絡與其潛在電子郵件以及多達5億人的個人信息所需要的契機。

下面是FBI方面公開的說法：

黑客的攻擊始于2014年初發送給雅虎公司員工的釣魚郵件。目前尚不清楚有多少被設為目標的員工以及發送的電子郵件數目，但只要有一個人點擊一個鏈接，黑客的目的就達到了。

然后俄羅斯間諜雇傭的一位來自拉脫維亞的黑客，Aleksey Belan開始在網上搜索兩樣東西——雅虎的用戶數據庫與其編輯數據庫的帳戶管理工具。

找到后他在雅虎服務器上安裝了一個允許訪問的后門程序，并在12月竊取了雅虎用戶數據庫的備份資料，上傳到自己的電腦上。

所謂數據庫包含名稱，電話號碼，密碼問題和答案，還有至關重要的——密碼恢復郵件及每個帳戶唯一的加密值。

最后這兩項使得Belan和商業黑客Karim Baratov能夠鎖定并訪問俄羅斯間諜Dmitry Dokuchaev和Igor Sushchin要求的某些用戶的帳戶。

美國地區法院對這四人的起訴書

上述的帳戶管理工具不允許對用戶名進行簡單的文字搜索，于是黑客轉向了恢復電子郵件地址。有時他們能夠根據恢復電子郵件地址來識別目標，電子郵件域名會提示他們帳戶持有人在從事他們所感興趣的公司或機構的工作。

一旦帳戶被識別，黑客就能夠使用稱為“nonce”的被盜加密值通過安裝在雅虎服務器上的腳本生成訪問cookie.這些cookie在2015年和2016年生成了多次，使黑客無需密碼就能夠免費訪問用戶的電子郵件帳戶。

而在他們整個有可能訪問約5億個帳戶的過程中，僅生成了大約6500個帳戶Cookie.

被黑的用戶包括俄羅斯副主席助理，俄羅斯內政部官員以及在俄羅斯體育部工作的培訓師。其它人則包括俄羅斯記者，美國政府工作人員，Swiss Bitcoin公司的雇員以及美國航空公司工人等。

最后小編只能說，電子郵件攻略實在是黑客們的居家旅行必備。此外，實在是搞不懂2014年開始實施信息盜竊，為什么偏偏在雅虎準備賣給Verizon的時候，黑市上就出現大量雅虎用戶數據兜售這種腦回路。