主站

分类

漏洞 工具 极客 web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据库安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

美国参议员质问雅虎:早就知道5亿账户被盗 却为何等了2个月才公开?
2016-09-28 14:58:33

上周人类获悉了可能是有史以来、已知最大型的网络入侵事件:雅虎5亿帐号信息被盗。以雅虎的体量和本次数据被盗的信息量而言,这在整个科技圈都算是个大灾难。

雅虎上周已经就此事发布了公告,也给出了相应的解决方案。不过就在昨天,数名美国参议员要求雅虎公布更多有关本次数据被盗事件的细节,以及后续将如何处理的细节,因为这件事或许对整个美国社会而言都存在影响。

160922095225-yahoo-hack-780x439.jpg

雅虎5亿帐号被盗事件回顾

上周四,雅虎发布公告称,黑客窃取了至少5亿用户账户数据——不过这起事件实际是发生在2014年的。按照雅虎的说法,雅虎也是在今年8月份对另外一起数据泄露事件发起调查的时候,才发现2014年5亿帐号被盗这一事实的。

早在今年8月初,国外媒体就报道称,一名黑客在暗网出售2亿雅虎用户账户数据。雅虎于是对此展开调查,最终发布报告称,黑客出售的这批数据是无效的,但与此同时雅虎决定针对其系统展开更为广泛的调查。路透社在上周的文章中提到,雅虎也是在8月报告之后才发现2014年攻击证据的——也就是本次5亿数据被盗事件。

这次事件一时之间占据大量媒体版面头条。雅虎就此事强调了两点,其一此次事件疑似为“国家背景”的攻击者所为,另外并未泄露如明文密码、银行卡信息这类最具价值的数据。雅虎的公告是这么说的:

“我们已经确认,2014年晚些时间,公司网络的部分用户账户信息被盗,或为具国家背景的攻击者所为。被窃信息可能包括用户名、电子邮件、电话号码、出生日期、哈希密码(大部分bcrypt),以及某些加密或未加密的安全提问和回答。”

“我们仍在持续调查中,被盗信息并不包括明文密码、支付卡数据,或银行账户信息;支付卡数据和银行账户信息并不存在于受影响的系统中。基于本次调查,雅虎认为至少5亿用户账户相关信息被窃取;并无证据表明,相应具国家背景的攻击者当前仍存在于雅虎网络中。雅虎目前正就此事与执法机关进行紧密配合。”

Yahoo-search.jpg

数名参议员正在介入

来自TechCrunch的消息,上周五,也就是雅虎宣布数据被窃后的1天,来自弗吉尼亚州的参议员Mark Warner就给证券交易委员会发了一封信,请求就雅虎处理被窃事件的问题展开调查,以及雅虎是否已经让投资者(尤其是Verizon)全面知悉其中细节。

Warner表示,雅虎及其CEO Marissa Mayer早就知道本次数据被窃事件,或至少可能已经知道——雅虎早在7月份的时候就已经收到有关用户数据在暗网出售的消息(应该是指先前2亿数据在暗网出售)。他特别谈到今年7月份,Verizon宣布以48.3亿美元收购雅虎核心资产,而Warner几乎可以确认,雅虎向Verizon隐瞒了数据被窃的情况。

这也是Warner请求美国证监会对雅虎发起调查的重要原因,所以前两天国外媒体甚至有消息说,此次事件可能会对Verizon的收购产生影响。

marissa-mayer-144.jpg

就在昨天,路透社报道称,6名美国民主党参议员向雅虎CEO Mayer本人发信,在信中直截了当地质问了Mayer一些问题,主要就是有关雅虎处理本次事故的具体方法的。

这6名参议员要求Mayer给出本次事件发生的具体时间点,以及质问雅虎为什么在2年以后才检测到数据被盗,还有最重要的一点:为什么雅虎等了2个月才向用户发出数据被盗的警报!

比预想得还要严重

不少美国人已经开始担心,雅虎5亿用户账户被盗事件甚至可能对许多美国人的日常生活产生影响。来自Bitcrack Cyber Security的安全研究人员最近就发起了一个检测项目:主要是为了了解有多少第三方域名在使用雅虎的企业邮件服务——就类似于许多企业将自家的企业邮箱挂靠在QQ邮箱一样。

结果发现,大约有57.2万域名使用雅虎的企业邮箱,绝大部分是美国公司。也就是说这些企业的内部邮箱用的就是Yahoo Mail服务。

Bitcrack Cyber Security首席技术官Dimitri Fousekis说:“很明显,有了被盗的登录信息,攻击者有足足2年时间进入@yahoo.com账户。不仅如此,属于第三方企业和组织的企业邮箱也在此列。无论对人,还是对企业,影响都是相当深远的。”

目前雅虎尚未就参议员的质问发表任何官方评论。雅虎仅在上周表示,当前已经采取的措施包括,通知受影响的用户;请求受影响用户修改密码,以及采用账户认证的进一步方案;令未加密的账户安全提问和回答无效化;推荐所有自2014年以来没有修改过密码的用户修改密码。

* 参考来源:SecurityAffairs [1] [2] 、SoftPediaNETWORKWORLD,欧阳洋葱编译,转载请注明来自FreeBuf.COM

本文作者:, 转载请注明来自FreeBuf.COM

# 雅虎
被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦