داستان هک یاهو: بزرگ ترین هک تاریخ که تنها با یک کلیک انجام شد

یک کلیک اشتباه. همین برای هکرهایی که همسو با سرویس امنیتی دولتی روسیه کار می‌کردند کافی بود تا وارد شبکه یاهو شده و به پیام‌های ایمیلی و همینطور اطلاعات شخصی بالغ بر ۵۰۰ میلیون نفر در سراسر کره زمین دسترسی پیدا کنند.

البته که رخنه امنیتی سال ۲۰۱۴ به شبکه یاهو، خیلی زود زیر سایه مکاشفات راجع به رخنه‌ای ثانویه که یک سال پیش‌تر صورت گرفته بود قرار گرفت: رخنه‌ای که در آن زمان گفته می‌شد حساب کاربری ۱ میلیارد نفری که از سرویس‌های یاهو استفاده می‌کردند را به خطر انداخت. و بعد یاهو گفت که در واقع حساب تمام ۳ میلیارد کاربرش تحت تاثیر این حمله مخوف قرار گرفته است.

پلیس فدرال ایالات متحده به مدت دو سال مشغول بررسی ابعاد مختلف رخنه امنیتی سال ۲۰۱۴ بود و تازه اواخر سال ۲۰۱۶ میلادی بود که ابعاد گسترده کار هکرهای روسی مشخص شد. در ماه مارس سال ۲۰۱۷، پلیس فدرال چهار نفر را به عنوان مسئولان این حمله معرفی کرد که دو نفر از آن‌ها، جاسوسان روس بودند. اما این هک چطور انجام شد؟ بیایید توصیف پلیس فدرال آمریکا از ماجرا را باهم بخوانیم.

روند هک در اوایل سال ۲۰۱۴ میلادی و با ارسال یک ایمیل فیشینگ به یکی از کارمندان کمپانی یاهو آغاز می‌شود. مشخص نیست که چند نفر از کارمندان هدف حمله قرار گرفته بودند و چند ایمیل ارسال شده، اما تنها کافی بود که یک نفر روی لینک ضمیمه شده در ایمیل کلیک کند و کار تمام بود.

به محض اینکه الکسی بلان، هکر لیتوانیایی استخدام شده از سوی ماموران روسی، شروع به گشت‌وگذار در شبکه یاهو کرد، به صورت خاص به دنبال دو چیز می‌گشت: دیتابیس کاربران یاهو و همینطور ابزار مدیریت اکانت که از آن برای ویرایش دیتابیس استفاده می‌شد. چندان طول نکشید تا او به اهدافش دست پیدا کند.

برای اینکه دیگر دسترسی خود را از دست ندهد، بلان یک در پشتی روی سرور یاهو نصب می‌کند که دسترسی دائمی به آن‌ها را برایش به ارمغان می‌آورد و بعد در ماه دسامبر، یک بک‌آپ از دیتابیس کاربران یاهو گرفته و آن را به کامپیوتر شخصی خودش انتقال می‌دهد.

این دیتابیس حاوی اطلاعاتی نظیر نام‌ها، شماره‌های تلفن، سوالات چالش پسوورد، پاسخ هرکدام و مهم‌تر از همه، ایمیل‌های بازیابی پسوورد و مقادیر مربوط به رمزگذاری منحصربه‌فرد هر اکانت بود.

همین دو مورد آخر بودند که به بلان و همکار دیگرش، یعنی کریم باراتوف، اجازه دادند اکانت‌های کاربران خاصی را به درخواست ماموران روسی (با نام‌های دیمیتری دوکوچاف و ایگور سوشین) هدف قرار داده و به آن‌ها دسترسی یابند.

ابزار مدیریت اکانت یاهو امکان جستجوی متنی ساده نام‌های کاربری را فراهم نمی‌کرد، بنابراین هکرها در عوض به سراغ ایمیل آدرس‌های بازیابی رفتند. بعضی از اوقات آن‌ها قادر به شناسایی اهداف خود براساس ایمیل آدرس‌های بازیابی بودند و گاهی هم دامین مربوط به ایمیل مشخص می‌کرد که فلان اکانت، متعلق به فلان کمپانی یا سازمانی است که جاسوسان روسی به آن علاقه دارند.

به محض شناسایی اکانت‌ها، هکرها می‌توانستند از مقادیر رمزگذاری شده‌ای که «Nonces» نامیده می‌شدند برای تولید کوکی‌های دسترسی از طریق اسکریپتی که روی سرور یاهو نصب شده بود استفاده کنند. این کوکی‌ها که برای بی‌شمار دفعات مختلف در سال‌های ۲۰۱۵ و ۲۰۱۶ تولیده شده بودند، به هکرها دسترسی آزادانه به اکانت ایمیل کاربر هدف را می‌دادند و حتی نیازی به وارد کردن رمز عبور نیز نبود.

در این پروسه، بلان و همکارانش رویکردی تمیز در پیش گرفتند که احتمال لو رفتن تمام ماجرا را کاهش می‌داد. به این ترتیب، از میان ۵۰۰ میلیون اکانتی که در دسترس‌شان قرار گرفته بودند، هکرها تنها به تولید کوکی برای حدود ۶۵۰۰ اکانت پرداختند.

از برجسته‌ترین افرادی  که مورد حمله قرار گرفته بودند می‌توان به یکی از مدیران ارشد وزارت امور داخلی روسیه و یکی از مربیان وزارت ورزش این کشور اشاره کرد. سایر اهداف هم ژورنالیست‌های روس، مقامات گمرک روسیه، کارمندان دولتی ایالات متحده، یکی از کارمندان کمپانی Swiss Bitcoin و کارمندی در خطوط هوایی ایالات متحده بوده‌اند.

حملات این هکرها آنقدر تمیز و بی‌سر و صدا انجام شد که وقتی یاهو برای نخستین بار در سال ۲۰۱۴ به سراغ پلیس فدرال آمریکا رفت، نگران بود که تنها ۲۶ اکانت مورد هدف هکرها قرار گرفته باشند. اما در آگوست ۲۰۱۶ بود که ابعاد عظیم و حقیقی رخنه مشخص شد و پلیس فدرال هم با جدی گرفتن هرچه بیشتر موضوع، به صورت همه‌جانبه به بررسی فعالیت هکرها پرداخت.

با تمام این اتفاقات، تازه در ماه دسامبر ۲۰۱۶ بود که یاهو ماجرا را به صورت عمومی اعلام کرد و به صدها میلیون کاربر خود پیشنهاد داد تا فورا رمز عبور اکانت‌هایشان را تغییر دهند.

هرچند که مشخصا دیگر دیر بود...