雅虎披露数据泄露新事件，涉及 10 亿用户帐户信息

雅虎官方证实超过 10 亿用户帐户在 2013 年的 cookies 伪造攻击中失窃。这起事件与之前披露的 5 亿用户帐户失窃不相关。

雅虎官方表示，内部安全人员发现了一些新的证据，表明公司还遭受过另外一次网络攻击。目前，10 亿数据尚无公开下载的渠道，泄漏事件是由雅虎官方自查发现并主动告知用户。

雅虎称，未经授权的第三方在 2013 年 8 月窃取了超过 10 亿账号的数据，失窃信息包括了用户名、电子邮件地址、电话号码、出生日期、MD5 未加盐哈希密码，部分加密或未加密的安全问题和答案。雅虎解释密码并非明文，但 MD5 哈希密码早就被认为不再安全。

雅虎表示，银行账号信息和支付卡信息没有储存在被入侵的服务器上。雅虎称，调查显示攻击者通过学习雅虎的专有代码学会如何伪造 cookies，然后利用伪造的 cookies 不用密码就能访问用户帐户。

雅虎已让伪造的 cookies 失效。它表示在 2013 年夏天开始使用 bcrypt 哈希加盐保护用户密码，但遭到攻击时尚未完成升级。这起安全事故是史上最严重的数据失窃事件，目前还不知是否会影响到 Verizon 的收购。

稿源：solidot奇客有删改，封面来源：百度搜索

from hackernews.cc.thanks for it.