雅虎:约3200万个账户被攻击者使用伪造的 cookie入侵

小二郎 新闻 2017年3月4日发布

导语:本周三(3月1日),雅虎承认攻击者在过去两年中使用“伪造的 cookie”入侵了大约3200万个用户账户。

本周三(3月1日),雅虎承认攻击者在过去两年中使用“伪造的 cookie”入侵了大约3200万个用户账户。

Yahoo-Mail-logo.jpeg

2016年成为雅虎“数据泄露元年”

2016年9月,雅虎宣布称,黑客至少盗取了5亿雅虎注册账户信息,成为历史上最疯狂的数据泄露事件之一。雅虎在新闻稿中说,这场大规模的数据泄露发生于2014年,除了电邮、出生日期等常规信息外,密保问题的答案,乃至一些个人专门开设的,毫无规律可循的二次加密密码也被盗取。

2016年12月,雅虎公司又发现一起大规模黑客攻击事件,导致10亿用户帐号在2013年8月被盗,泄漏数据包括电子邮件地址、名称、哈希密码、安全问题以及手机号码等,成为有史以来最大规模的网络帐号被盗事件。

受两次数据泄漏影响,Verizon最终将48.3亿美元的交易成本削减了3.5亿美元,以44.8亿美元的价格收购了雅虎公司的核心互联网资产,并平均分摊雅虎去年揭露的成本。

此次入侵与此前数据泄漏相关

未获授权的第三方获取了公司的专用代码,学会了如何伪造特定cookie。雅虎认为近期发生的入侵事件与2014年造成至少5亿用户数据泄漏的是同一攻击者所为。

雅虎在最新的年度申报文件中写道,

外部安全认证人员识别出了 约3200 万用户的账号在 2015 年和 2016年之间遭到了 cookie 伪造攻击,部分伪造cookie与 2014 年的雅虎入侵事件相关。

虽然泄漏事件已经众所周知,公司也已经深刻地意识到过去几年发生了什么,但是这个问题也只是在去年秋天的申报文件中提及,而用户也仅在几周前才收到警告通知,所以他们的账户可能已经通过这种复杂的cookie伪造攻击遭到了破坏。

据悉,伪造的cookie允许攻击者在不用密码的情况下登录用户账户。该公司表示,现在这些cookie已被作废,不能再用于登入用户账户。

后续处理

同样在本周三雅虎承认此次入侵事件后,该公司CEO 梅耶尔 (Marissa Mayer)宣布放弃 2016 年的奖金和 2017 年的年度股权奖励,为丑闻承担责任,因为这些数据泄露事件是在其任期内发生的。梅耶尔在博客上表示,在 2016 年 9月听闻用户数据泄漏后,她立即与安全团队合作向用户、监管机构和政府机构披露了泄漏事件。作为公司 CEO ,且事故又发生在其任期内,她决定放弃奖金和股权奖励,2016 年的奖金将分给辛勤工作的公司员工。

本文参考来源于zdnet,如若转载,请注明来源于嘶吼: http://www.4hou.com/info/news/3650.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

    沙拉拉卡 2017-03-06 18:29

    别说奖金了…该怎么捐就怎么捐吧

    天海 春香 2017-03-06 12:05

    终于承认了!这届yahoo1米6