导语:本周三(3月1日),雅虎承认攻击者在过去两年中使用“伪造的 cookie”入侵了大约3200万个用户账户。
本周三(3月1日),雅虎承认攻击者在过去两年中使用“伪造的 cookie”入侵了大约3200万个用户账户。
2016年成为雅虎“数据泄露元年”
2016年9月,雅虎宣布称,黑客至少盗取了5亿雅虎注册账户信息,成为历史上最疯狂的数据泄露事件之一。雅虎在新闻稿中说,这场大规模的数据泄露发生于2014年,除了电邮、出生日期等常规信息外,密保问题的答案,乃至一些个人专门开设的,毫无规律可循的二次加密密码也被盗取。
2016年12月,雅虎公司又发现一起大规模黑客攻击事件,导致10亿用户帐号在2013年8月被盗,泄漏数据包括电子邮件地址、名称、哈希密码、安全问题以及手机号码等,成为有史以来最大规模的网络帐号被盗事件。
受两次数据泄漏影响,Verizon最终将48.3亿美元的交易成本削减了3.5亿美元,以44.8亿美元的价格收购了雅虎公司的核心互联网资产,并平均分摊雅虎去年揭露的成本。
此次入侵与此前数据泄漏相关
未获授权的第三方获取了公司的专用代码,学会了如何伪造特定cookie。雅虎认为近期发生的入侵事件与2014年造成至少5亿用户数据泄漏的是同一攻击者所为。
雅虎在最新的年度申报文件中写道,
外部安全认证人员识别出了 约3200 万用户的账号在 2015 年和 2016年之间遭到了 cookie 伪造攻击,部分伪造cookie与 2014 年的雅虎入侵事件相关。
虽然泄漏事件已经众所周知,公司也已经深刻地意识到过去几年发生了什么,但是这个问题也只是在去年秋天的申报文件中提及,而用户也仅在几周前才收到警告通知,所以他们的账户可能已经通过这种复杂的cookie伪造攻击遭到了破坏。
据悉,伪造的cookie允许攻击者在不用密码的情况下登录用户账户。该公司表示,现在这些cookie已被作废,不能再用于登入用户账户。
后续处理
同样在本周三雅虎承认此次入侵事件后,该公司CEO 梅耶尔 (Marissa Mayer)宣布放弃 2016 年的奖金和 2017 年的年度股权奖励,为丑闻承担责任,因为这些数据泄露事件是在其任期内发生的。梅耶尔在博客上表示,在 2016 年 9月听闻用户数据泄漏后,她立即与安全团队合作向用户、监管机构和政府机构披露了泄漏事件。作为公司 CEO ,且事故又发生在其任期内,她决定放弃奖金和股权奖励,2016 年的奖金将分给辛勤工作的公司员工。