via Solidot
雅虎官方证实超过10亿用户帐户在2013年的cookies伪造攻击中失窃,这起事件与之前披露的5亿用户帐户失窃不相关。雅虎称,未经授权的第三方在2013年8月窃取了超过10亿账号的数据,窃取的信息包括了用户名、电子邮件地址、电话号码、出生日期、MD5未加盐哈希密码,部分加密或未加密的安全问题和答案。雅虎称,密码不是明文的,但MD5哈希密码早就被认为不再安全。雅虎表示,银行账号信息和支付卡信息没有储存在被入侵的服务器上。雅虎称,调查显示攻击者通过学习雅虎的专有代码学会如何伪造cookies,然后利用伪造的cookies不用密码就能访问用户帐户。雅虎已让伪造的cookies失效。它表示在2013年夏天开始使用 bcrypt哈希加盐保护用户密码,但遭到攻击时尚未完成升级。这起安全事故是史上最严重的数据失窃事件,目前还不知道是否会影响到 Verizon 的收购。
没有评论:
发表评论