又是雅虎,又10亿账户泄露!

  • 来源:深信服安全中心
  • 发布时间:2016-12-29
#

事件描述

    雅虎貌似已经成为了大规模数据泄露的代名词,曝光的用户信息和漏洞都是没有最多,只有更多。今天的数据泄露,可以追溯到2013年的入侵事件中,这次入侵导致10亿用户账号曝光。

    大家可能还记得前不久雅虎的5亿数据泄露事件,上次入侵的的具体时间差不多在2014年9月,而这次的泄露和上次的泄露并没有关系——也就是说,这是两次数据泄露!雅虎官方已经承认在此次事件中泄露的用户信息包括:姓名、电话、密码和邮箱,但是并不包括银行或支付信息。

    而雅虎公司目前已经被Verizon公司接管,就他们透露,目前公司已经与警方和政府密切合作,展开调查。雅虎在官方声明中提到:

    “我们相信此次事件应该是某未经授权的第三方所为,他们在2013年8月的时候窃取了超过10亿的用户信息。”“这跟今年9月22日曝光的那起事件没有什么关系。”

    然而,这起已经过了3年的事件之所以被发现,完全是因为警方和公司安全专家对2014年5亿事件的调查。这才叫真正的雪上加霜。

    如果你是雅虎用户,修改密码和安全问题一定是必要的了。

    为什么总是雅虎?

    安全专家Troy Hunt在BBC的采访中提到:“10亿这么多的账户泄露绝对是史无前例的。在几个月之前我们觉得雅虎的5亿可能已经是极限了,结果没过多久他们就给翻了个倍。”

    “这次雅虎并没有像以前一样把责任推给什么有国家背景资助的黑客行为。他们倾向于认为是网站的cookies被篡改造成了此次事件,不过这起码给了我们一些有用的信息,看看是不是他们的系统本身存在漏洞。”

    入侵者访问了雅虎的“专有代码(proprietary code)”,伪造cookies,所以“黑客能在没有密码的情况下就访问用户账户”。

    在上次的5亿事件中,虽然雅虎称是有国家背景的黑客干的,但也没能说出具体是哪个国家。而且,自从上次事件后雅虎也一直承受着巨大的压力,需要给广大用户一个合理的解释。

    雅虎每月的活跃用户超过十亿,也有一些用户使用多个账号。除此以外还有很多使用频率较低或休眠账号。

    而在这次十亿账号被泄事件之后,Verizon还会花费48亿美元收购雅虎么?还会不会修改报价?

    Verizon也很受伤

    如果这几次入侵事件开始让用户抵制雅虎的话,那么雅虎原本的服务对Verizon来说可能就没有什么价值了。

    Verizon也发表了声明:“我们会将雅虎发生的这些事件和之后的调查结果进行评估,再得出最终结论。”

    Hunt提到,据说在5亿事件曝光后,Verizon对雅虎的出价贬值了十亿美元。

    “这次10亿事件肯定会影响收购价格的,因为这个价值不光要考虑到公司的规模,这些事件的发生只能说明雅虎自己的经营模式存在严重的问题。”

    最尴尬的是,雅虎作为早期最大的互联网公司之一,到目前却已经完全跟不上Google或者Facebook等互联网企业的发展速度了。在雅虎的鼎盛时期,市值也一度达到1250亿美元,但之后却一降再降,几次想要重整旗鼓却也没达到什么效果。

    此次事件对雅虎来说绝对是个大写的尴尬。用外国人的话来说,还能更糟糕么?其实公众是可以接受账户被黑的,因为毕竟没有绝对的安全,任何互联网公司都存在这样的风险。但是雅虎重复被入侵,每次泄露的数据都破纪录,这绝对是不应该的,是十分严重的问题。

    本来Verizon想要收购雅虎也是看中了公司庞大的用户群体。但现在还有多少用户会继续使用雅虎呢?最基本的信任也没有了。看看Verizon的收购价格会不会继续打折,反正今年雅虎玩的游戏就是还有谁能比我low。