雅虎又泄露3200萬賬戶數據，這次是因為「cookie偽造」攻擊

前科技巨頭雅虎近期公布的消息顯示：在過去兩年間，有入侵者進行「cookie偽造」攻擊，造成3200萬賬戶泄露。

特別要說明的是，此次泄露事件是獨立存在的，和前幾個月爆出的兩次大規模數據泄露不一樣（2016年12月曝10億賬戶泄露，9月曝5億賬戶泄露）。當然，3200萬這個數字現在聽起來根本就不算什麼。

Cookie偽造攻擊

雅虎是在周三的一份監管機構文件中提到，本次cookie偽造攻擊事件和「具國家背景的黑客」有關，和雅虎於2014年發生的一次5億賬戶被竊的事件幕後攻擊者應該是同一波人。

雅虎在給美國證券交易委員會（SEC）提交的報告中說：「根據調查，我們認為未經授權的第三方訪問了公司的專屬代碼，來學習如何偽造相應cookie。」

「外部鑒定專家已經確定有將近3200萬賬戶在2015和2016年間遭到cookie偽造攻擊。我們認為其中的某些入侵行為，與2014年的安全事件相關國家背景支持的攻擊者有關。」

通過cookie偽造攻擊（Forged cookies），攻擊者在無需輸入密碼的情況下，就能訪問受害者賬戶。利用偽造的cookie，入侵者無需竊取密碼，只需偽造一個web瀏覽器token即cookie來誘使瀏覽器相信雅虎用戶已經登錄。

實際上，雅虎早在去年12月就揭露了這起cookie偽造事件，但是在當時因為爆出2013年10億賬戶泄露這樣的大新聞在前，這個事情就完全被忽略了。

從上個月開始，雅虎就開始警告其用戶可能被入侵，並陳述用戶可能被竊取的信息包括姓名、郵箱、哈希密碼、電話號碼、生日和一些加密或者未加密的安全問題和答案。

當然，也是有好消息的，雅虎已經將那些偽造cookie都「失效」了，所以入侵者不能再次訪問用戶賬戶。

CEO Marissa Mayer損失慘重

在雅虎發布cookie偽造攻擊事件的同時，CEO Marissa Mayer在Tumblr上發布博客稱：「因為這些安全事件發生在她的任期，因此她會放棄去年差不多200萬美金的年終獎和差不多價值1200萬美元的股票，將這些錢發給公司辛勤工作的員工，以表彰他們在2016年為雅虎做出的貢獻。」

除了這些，在雅虎發布「企業高管及法律顧問意識到這是一起有國家背景資助的黑客行為，入侵者利用公司的賬戶管理工具訪問特定用戶賬號」的聲明之後，企業的總法律顧問兼秘書Ronald Bell也在周三提交了辭呈。

雅虎接二連三的安全事故已經嚴重打擊了雅虎對用戶的信譽，就在上個月雅虎以從起初估值48億美元到最終同意以3.5億美元的超低價被Verizon通信公司收購。

到目前為止，已經有超過40起針對雅虎安全事故的集體訴訟，公司表示在2016年他們已經在調查取證、補救活動和法律費用上花費了1600萬美元。

*參考來源：

thehackernews

，FB小編孫毛毛編譯，轉載請註明來自FreeBuf

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！