索哈安全性仍然贫困,尽管突破,但索赔Venafi
Pivot3增加了边缘办公室/尺子/ robo超级融合设备
Windows两年后的OS Clash中出现了第三名
技能差距和定义不明的策略阻碍了云层的采用,暗示了IDC研究
HPE通过微焦点绑定进一步剥离到目标软件定义的市场
戴尔为Oculus Rift,HTC Vive提供精密台式机
房间面板移动以要求存储数据的权证
英特尔轴12,000个工作岗位,看起来会脱离PC
巨大的巴拿马论文数据泄漏的交易是什么?
最佳欧洲欧洲用户奖2016年度2016年,为9月30日之前开放参赛作品
HTC 10是智能手机的“位置”,不会保存HTC
WhatsApp加密 - 希拉里脸上的鸡蛋
威胁后谷歌建筑疏散
翻新和旧模型的iPhone只为Apple开辟印度市场
云公司骨干骨干降级X-IO SAN与亚特兰蒂斯分层存储
特斯拉型号3订单狂热使其成为汽车行业的iPhone'
新的AMD许可交易可以为英特尔创建更多X86竞争对手
一支自驾车队的队列遍布欧洲
在一个强硬的企业通信市场中,助理购买Polycom的价格为2亿美元
OFCOM打开额外频谱的咨询,适用于5G移动
亨特宣布资金高达120万英镑到快速轨道NHS数字卓越
随着Microsoft Rexitisies的生产力和平台,Windows Mobile缩小
高通公司的ARM服务器芯片向前,而AppliedMicro飙升
法国潜艇制造商数据泄露突出了知识产权安全的挑战
秘密Facebook群体在中东的鞭打恐怖重型武器
AWS为具有巨型硬盘提供新的大数据服务
Apple今年夏天可以将OS X更换为“麦斯科斯”
政府争取开发出口商网络的初创公司
Windows 7 / 8.1补丁KB 2952664,2976978和2977759像糟糕的便士一样回来
AWS VS Google VS Microsoft:企业云战争是如何热的
苹果40:这是沃兹不得不在1984年关于Apple II和手机关键字所说的
消费者实际上喜欢ISPS在移动数据帽上玩最爱
CW500:如何最大化云中的好处
新加坡房地产投资者将BT的加拉夫迪格·罗斯特省快活3400万英镑
TV5Monde说,网络攻击旨在破坏
意大利瓶制造商部署了Syneto超融合存储的88TB
与DDOS攻击有关的IOT BOTNET
麻省理工学院使用4D地图来帮助机器人团队导航移动障碍
IBM的视频投资是否偿还?
Facebook安全检查在周末开发故障
ICertis与Microsoft合作,以其Salesforce生态系统竞争对手
更虚拟化进入成熟的澳大利亚市场
优步和Twitter已经抬起了政治游说的支出
澳大利亚人口普查网站故障传播怀疑态度
新的销售点Malware Multigrain窃取了DNS的卡数据
微软的PowerPoint Designer获得多个图像支持等
圣贝纳迪诺检察官在恐怖分子的iPhone中提出了“网络病原体”的担忧
Wada谴责俄罗斯黑客泄漏奥运会运动员的医疗数据
亚马逊警告:有一个2013年的Kindle?你现在必须修补,否则!
Quantum刷新标量磁带库系列与I3,I6和AEL6
您的位置:首页 >科技 > 通信技术 >

索哈安全性仍然贫困,尽管突破,但索赔Venafi

2021-06-26 08:44:30 [来源]:

据担保公司Venafi表示,尽管在该公司最近确认2014年的数据泄露,但雅虎的安全仍然差。

9月22日,互联网公司表示,“最近调查”透露,受损的数据可能包含姓名,电子邮件地址,电话号码,出生日期,散列密码以及一些加密或未加密的安全问题和答案。

“通过战略主动检测举措和积极回应未经授权的账户访问,雅虎将继续努力继续在这些不断发展的在线威胁之前,并使我们的用户和我们的平台安全,”雅虎的首席信息安全官员鲍勃阁下,在Ablog Post说。

但是,根据Venafi实验室,雅虎没有采取必要的行动以确保用户仍然仍然暴露,并且黑客仍然无法访问其系统和加密通信。

研究人员发现雅虎仍在使用MD5加密散列函数,其中许多数字证书,注意到已知该算法几年易受攻击,并且遭受许多严重和记录良好的漏洞。

Venafi分析了来自TrustNet的数据,这是一个证书情报数据库的全球数据库,发现自2015年1月以来,外部雅虎网站上的27%的证书尚未重新发行。

根据研究人员,在违规之后更换证书是一个关键缓解实践,因为如果没有被替换证书,则违反组织不能确定攻击者没有继续访问加密通信。

在过去的90天内只发布了部署的519个证书的2.5%。根据Venafi的说法,很可能没有能力快速找到和替换数字证书,这是一个常见的问题,即使在具有重要在线存在的大型组织中。

Venafi研究人员发现,今天雅虎使用的所有MD5证书以及许多其他证书评估的venafi是自行发行的,并且一个当前的MD5证书使用了通配符证书(* .yahoo.com),并且有五年的到期日。

根据研究人员的说法,长期曝光日期的证书,那些自发出的人以及使用外卡的人都是弱密加密控制的症状。

他们还发现,TrustNet数据集中使用的41%的外部雅虎证书使用了SHA-1,这是一种散列算法,该算法不再被认为是安全的对抗的对手。主要的浏览器供应商表示,他们将在2017年1月停止接受SHA-1证书。

Venafi工程副总裁Alex Kaplunov表示,雅虎遭受的主要违规行为往往伴随着相对较弱的加密控制。

“为了确认这一假设,我们深入了解外部面对雅虎的Web属性以及这些网站如何使用加密的细节,”他说。“我们在这些属性上找到了对比较弱的加密实践。这并不奇怪。在我们的经验中,大多数企业,甚至全球品牌都有深层网络安全投资,都有薄弱的加密控制。“

Venafi产品管理和加密研究员的主任Hari Nair表示,雅虎发现的任何一个密码问题都会让任何组织都非常容易受到加密通信和认证的攻击。

他说:“集体,它们对雅虎是否具有保护加密通信所需的能见度和技术以及确保其客户隐私所需的知名度和技术,构成了严重的问题。”“我们的研究导致我们相信,弱密加动控制和整体网络安全姿势之间通常存在高度高度的共同关系。”

Venafi的首席安全战略家Kevin Bocek表示,攻击者能够抵抗5亿雅虎用户的数据意味着他们可能已经使用加密对雅虎进行加密,以确保他们的活动被公司的安全控制未被发现。

“除非他们有强大的加密实践,否则任何组织都几乎不可能检测到未经授权的加密流量,”他说。

Bocek强调,加密数据不足以确保安全和隐私。“必须合并一系列技术加密属性,以确保安全和隐私,这是一种原因,即尽管对各种类型的网络安全技术在网络安全技术方面,我们继续看到一个不断的重大违规流,”他说。

Bocek表示,雅虎在过去90天内未取代加密密钥和数字证书的事实,似乎没有对违约的协调响应。

“像MD5证书一样的已知漏洞与有五年到期日的通配符证书结合起来,明确表示雅虎缺乏深入了解其加密安全姿势,”他说。

Bocek警告说,使用加密来保护所有内容的组织 - 没有全面了解加密风险 - 无法对安全或隐私信任。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。