日前雅虎正式承認(rèn)其遭遇史上最嚴(yán)重?cái)?shù)據(jù)泄露事故，其中至少5億用戶賬戶數(shù)據(jù)被泄露。

雅虎數(shù)據(jù)泄露事故發(fā)生在2014年年底，不過直到“最近調(diào)查”出來時(shí)該公司才正式承認(rèn)。雅虎沒有提供事件的具體時(shí)間表，但FlashPoint證實(shí)最近發(fā)現(xiàn)2億雅虎賬戶在深網(wǎng)出售。

[[172777]]

“在2016年8月2日，F(xiàn)lashpoint注意到在TheRealDeal Marketplace由‘peace_of_mind’張貼的廣告——出售2億雅虎賬戶，”FlashPoint公司網(wǎng)絡(luò)犯罪情報(bào)高級(jí)分析師Vitali Kremez表示，“peace_of_mind也是此前FlashPoint報(bào)道銷售被泄露MySpace和LinkedIn賬戶憑證的同一個(gè)人。這個(gè)人是TheRealDeal Marketplace聯(lián)合創(chuàng)始人，根據(jù)其過去的活動(dòng)以及客戶的反饋，此人有著極高的信譽(yù)度。”

根據(jù)其他新聞報(bào)道，在深網(wǎng)雅虎賬戶出售讓雅虎公司開始調(diào)查潛在的海量數(shù)據(jù)泄露事故。在雅虎數(shù)據(jù)泄露事故之前，LinkedIn和Dropbox也遭遇數(shù)據(jù)泄露事故，導(dǎo)致用戶電子郵件和信息泄露。

Blink Digital Security公司高級(jí)安全研究人員兼負(fù)責(zé)任Keatron Evans稱，雅虎需要提供關(guān)于此次攻擊的更多細(xì)節(jié)。“我想要知道的是雅虎什么時(shí)候發(fā)現(xiàn)這一攻擊，如果這發(fā)生在2014年，那就是說該公司在過去兩年就已經(jīng)知道攻擊事故，為什么他們花了這么長的時(shí)間才透露數(shù)據(jù)泄露事故的程度，”Evans稱，“這種緩慢的反應(yīng)可能會(huì)成為公關(guān)噩夢(mèng)，并損害該公司的聲譽(yù)，這也將說明如果沒有正確的培訓(xùn)和工具我們非常難以確定攻擊的根本原因，即使是發(fā)生在數(shù)月前或者數(shù)年前的攻擊事故。”

在一份聲明中，雅虎稱這次攻擊是國家資助的攻擊，但沒有指出具體國家。雅虎也試圖安撫客戶他們最有價(jià)值的數(shù)據(jù)并沒有受到影響。

“賬戶信息可能包含名字、郵件地址、電話號(hào)碼、出生日期、哈希密碼以及加密和未加密的安全提示問題及答案，”雅虎寫道，“正在進(jìn)行的調(diào)查表明，泄露的信息并不包含五保戶的密碼、支付卡數(shù)據(jù)或銀行賬戶信息;支付卡數(shù)據(jù)和銀行賬戶信息沒有存儲(chǔ)在受影響的系統(tǒng)中。”

eSentire公司首席執(zhí)行官J. Paul Haynes稱，我們很高興看到雅虎沒有對(duì)原因下結(jié)論。

“這次數(shù)據(jù)泄露事故的時(shí)機(jī)非常奇怪，鑒于雅虎泄露的賬戶還在待售狀態(tài)；然而，現(xiàn)在責(zé)怪國家資助的攻擊者有點(diǎn)為時(shí)過早，”Haynes稱，“如果沒有完整的案例文件，幾乎不可能對(duì)攻擊者得出結(jié)論。”

更為復(fù)雜的是，Verizon正在考慮以48億美元收購雅虎公司，該交易仍在監(jiān)管部門審查中。Verizon發(fā)言人稱該公司在上周二才得知雅虎的大型數(shù)據(jù)泄露事故，但表示Verizon對(duì)該數(shù)據(jù)泄露事故帶來的影響只有“有限的信息以及了解”。

IDT911公司主席兼創(chuàng)始人Adam Levin稱：“所有雅虎郵箱用戶必須立即更改其雅虎用戶ID及密碼，還應(yīng)該更改用于訪問其他賬戶的重復(fù)的登錄信息。我們生活在數(shù)據(jù)泄露事故無法避免的環(huán)境中，消費(fèi)者應(yīng)該使用高強(qiáng)度密碼保護(hù)自己，在社交、金融、零售和電子郵件賬戶不要使用相同的信息，并定期更新;啟用雙因素身份驗(yàn)證;始終警惕網(wǎng)絡(luò)釣魚攻擊。”

雅虎建議用戶檢查其在線賬戶是否存在任何可疑活動(dòng)，更改賬戶信息，避免點(diǎn)擊可疑鏈接以及使用雅虎賬戶雙因素驗(yàn)證工具。

FIDO聯(lián)盟執(zhí)行主管Brett McDowell表示，這應(yīng)該是對(duì)所有人的警示，單靠高強(qiáng)度密碼可能不夠，“網(wǎng)絡(luò)罪犯知道消費(fèi)者會(huì)在網(wǎng)站和應(yīng)用使用相同的密碼，這也是為什么這些泄露的密碼憑證可能用于后續(xù)的詐騙的原因。我們需要阻止網(wǎng)絡(luò)罪犯的這種行為，唯一的方法是不要完全依靠密碼。這些數(shù)據(jù)泄露事故的頻率和嚴(yán)重程度不斷提高，這種趨勢(shì)還會(huì)繼續(xù)發(fā)展，除非我們不再依靠密碼安全，而采用強(qiáng)大的身份驗(yàn)證機(jī)制。”

Seclore公司首席執(zhí)行官Vishal Gupta表示，這種攻擊的后果可能是災(zāi)難性的。“現(xiàn)在已經(jīng)有5億電話號(hào)碼泄露，我們不難想象這些個(gè)人信息可能被惡意利用。企業(yè)應(yīng)該采取更嚴(yán)格的安全措施以及以數(shù)據(jù)為中心的安全解決方案，因?yàn)楣粽呖偸菚?huì)想出創(chuàng)造性的方法來將敏感信息用于惡意目的。”