雅虎官方证实超过 10 亿用户帐户在 2013 年的 cookies 伪造攻击中失窃。这起事件与之前披露的 5 亿用户帐户失窃不相关。
雅虎官方表示,内部安全人员发现了一些新的证据,表明公司还遭受过另外一次网络攻击。目前,10 亿数据尚无公开下载的渠道,泄漏事件是由雅虎官方自查发现并主动告知用户。
雅虎称,未经授权的第三方在 2013 年 8 月窃取了超过 10 亿账号的数据,失窃信息包括了用户名、电子邮件地址、电话号码、出生日期、MD5 未加盐哈希密码,部分加密或未加密的安全问题和答案。雅虎解释密码并非明文,但 MD5 哈希密码早就被认为不再安全。
雅虎表示,银行账号信息和支付卡信息没有储存在被入侵的服务器上。雅虎称,调查显示攻击者通过学习雅虎的专有代码学会如何伪造 cookies,然后利用伪造的 cookies 不用密码就能访问用户帐户。
雅虎已让伪造的 cookies 失效。它表示在 2013 年夏天开始使用 bcrypt 哈希加盐保护用户密码,但遭到攻击时尚未完成升级。这起安全事故是史上最严重的数据失窃事件,目前还不知是否会影响到 Verizon 的收购。
稿源:solidot奇客有删改,封面来源:百度搜索
from hackernews.cc.thanks for it.