雅虎宣布,黑客在2013年窃取了超过10亿个账户的数据。据该公司称,数据可能包括姓名,电子邮件ID,电话号码,散列密码以及“加密或未加密的安全问题和答案”。
这次攻击与雅虎9月份披露的攻击是分开的,其中该公司认为“国家赞助的演员”会破坏其服务器以访问来自5亿多个账户的用户数据。 但是,这次看起来像黑客一样能够获取更多数据。
来自Tumblr的官方声明:
正如我们之前在11月份披露的那样,执法部门向我们提供了第三方声称是雅虎用户数据的数据文件。 我们在外部法医专家的协助下分析了这些数据,发现它似乎是雅虎的用户数据。 根据法医专家对此数据的进一步分析,我们认为2013年8月未经授权的第三方窃取了与超过10亿用户帐户相关的数据。 我们无法识别与此盗窃相关的入侵行为。 我们认为此事件可能与我们于2016年9月22日披露的事件截然不同。
对于可能受影响的帐户,被盗用户帐户信息可能包括姓名,电子邮件地址,电话号码,出生日期,散列密码(使用MD5),在某些情况下,还包括加密或未加密的安全问题和答案。 调查表明,被盗信息不包括明文密码,支付卡数据或银行账户信息。 支付卡数据和银行帐户信息不会存储在公司认为受影响的系统中。
雅虎还表示,黑客能够伪造公司的身份验证“cookies”,允许他们访问用户帐户而无需密码:
根据正在进行的调查,我们认为未经授权的第三方访问我们的专有代码以了解如何伪造cookie。 外部法医专家已经确定了他们认为采用或使用伪造饼干的用户帐户。 我们正在通知受影响的帐户持有人,并使伪造的Cookie无效。 我们已将部分此类活动与相同的国家赞助的演员联系起来,该演员被认为负责该公司于2016年9月22日披露的数据窃取行为。
如果您有雅虎帐户,则需要更改密码。 创建一个强密码,并确保您在服务上使用的密码不会在其他任何地方重复使用。 您还应该为您的Yahoo帐户启用双因素身份验证。
