雅虎披露10亿用户帐户失窃

雅虎官方证实超过10亿用户帐户在2013年的cookies伪造攻击中失窃,与之前披露的5亿用户帐户失窃不相关。雅虎称,未经授权的第三方在2013年8月窃取了超过10亿账号的数据,窃取的信息包括了用户名、电子邮件地址、电话号码、出生日期、MD5未加盐哈希密码,部分加密或未加密的安全问题和答案。雅虎称,密码不是明文的,但MD5哈希密码早就被认为不再安全。雅虎表示,银行账号信息和支付卡信息没有储存在被入侵的服务器上。雅虎称,调查显示攻击者通过学习雅虎的专有代码学会如何伪造cookies,然后利用伪造的cookies不用密码就能访问用户帐户。雅虎已让伪造的cookies失效。它表示在2013年夏天开始使用 bcrypt哈希加盐保护用户密码,但遭到攻击时尚未完成升级。这起安全事故是史上最严重的数据失窃事件,目前还不知道是否会影响到 Verizon 的收购。

雅虎披露10亿用户帐户失窃

Yahoo 的用户帐号资料被骇已经不是新闻了,不过最近又再度宣布了有「另一批」双倍于前次宣布的帐号数量被盗,那就请大家别把这消息当成旧闻来看待,并注意一下 Yahoo 是否会给你相关通知啊。因为这次除了数量由九月份所公布被盗的 5 亿帐号倍增到了 10 亿(!)以外,该公司更宣称这与前一次宣布的被骇案件很可能是两个独立的事件,也就是说 Yahoo 是两度被盗,而且牵涉的帐号数至少超过 10 亿,代表影响范围已经相当地广泛了,需要好好注意。

有别于前次由警察单位所提供的资料所揭露的 2014 年被盗高达 5 亿帐号的事件。Yahoo 表示这次公布的被骇事件是发生在更早的 2013 年 8 月份,被盗的帐号数字则更是超过前次揭露的数字达两倍之多。该公司认为,两次的被盗事件都是使用伪造 Cookie 的方式,让骇客在不需密码的状态下入侵 Yahoo 帐号。

而与 2014 年被盗的状况一样,据称目前被骇客所取得的资料类型包括使用者姓名、Email、地址、电话号码、出生日期、散列密码(采 MD5 加密),甚至在某些案例中连加密或未加密的密码保全问题与答案,都列在被盗资料的风险范围之内。

Yahoo 现阶段已经开始联系潜在可能受到侵害的使用者,并与相关执法单位合作进行调查。另一方面,他们也准备了一个新的 FAQ 问答页面(好像只有英文啊?),将两次的事件以及许要因应的对策进行说明,鼓励受影响的使用者尽快更换密码与保全问题与答案,并且通过查看帐号登入是否有异常等措施来确认是否真的遭骇。

是说,除了这些保全问题与密码之外,那些被窃取的个人资料看来真的就是一去无回也无从更改起(也许,电话吧?),说真的,这真的会令使用者的信心大降,更别说为何这么晚才揭露也引起一些用户的不满,不知道未来是否有相关的挽回移动?至于讲好的收购... 貌似也将因为被骇连环爆而充满变数了吧。

相关推荐