雅虎披露10亿用户帐户失窃

雅虎官方证实超过10亿用户帐户在2013年的cookies伪造攻击中失窃，与之前披露的5亿用户帐户失窃不相关。雅虎称，未经授权的第三方在2013年8月窃取了超过10亿账号的数据，窃取的信息包括了用户名、电子邮件地址、电话号码、出生日期、MD5未加盐哈希密码，部分加密或未加密的安全问题和答案。雅虎称，密码不是明文的，但MD5哈希密码早就被认为不再安全。雅虎表示，银行账号信息和支付卡信息没有储存在被入侵的服务器上。雅虎称，调查显示攻击者通过学习雅虎的专有代码学会如何伪造cookies，然后利用伪造的cookies不用密码就能访问用户帐户。雅虎已让伪造的cookies失效。它表示在2013年夏天开始使用 bcrypt哈希加盐保护用户密码，但遭到攻击时尚未完成升级。这起安全事故是史上最严重的数据失窃事件，目前还不知道是否会影响到 Verizon 的收购。

Yahoo 的用户帐号资料被骇已经不是新闻了，不过最近又再度宣布了有「另一批」双倍于前次宣布的帐号数量被盗，那就请大家别把这消息当成旧闻来看待，并注意一下 Yahoo 是否会给你相关通知啊。因为这次除了数量由九月份所公布被盗的 5 亿帐号倍增到了 10 亿（！）以外，该公司更宣称这与前一次宣布的被骇案件很可能是两个独立的事件，也就是说 Yahoo 是两度被盗，而且牵涉的帐号数至少超过 10 亿，代表影响范围已经相当地广泛了，需要好好注意。

有别于前次由警察单位所提供的资料所揭露的 2014 年被盗高达 5 亿帐号的事件。Yahoo 表示这次公布的被骇事件是发生在更早的 2013 年 8 月份，被盗的帐号数字则更是超过前次揭露的数字达两倍之多。该公司认为，两次的被盗事件都是使用伪造 Cookie 的方式，让骇客在不需密码的状态下入侵 Yahoo 帐号。

而与 2014 年被盗的状况一样，据称目前被骇客所取得的资料类型包括使用者姓名、Email、地址、电话号码、出生日期、散列密码（采 MD5 加密），甚至在某些案例中连加密或未加密的密码保全问题与答案，都列在被盗资料的风险范围之内。

Yahoo 现阶段已经开始联系潜在可能受到侵害的使用者，并与相关执法单位合作进行调查。另一方面，他们也准备了一个新的 FAQ 问答页面（好像只有英文啊？），将两次的事件以及许要因应的对策进行说明，鼓励受影响的使用者尽快更换密码与保全问题与答案，并且通过查看帐号登入是否有异常等措施来确认是否真的遭骇。

是说，除了这些保全问题与密码之外，那些被窃取的个人资料看来真的就是一去无回也无从更改起（也许，电话吧？），说真的，这真的会令使用者的信心大降，更别说为何这么晚才揭露也引起一些用户的不满，不知道未来是否有相关的挽回移动？至于讲好的收购... 貌似也将因为被骇连环爆而充满变数了吧。