雅虎再次入侵！悄悄地警告受影响的用户新的攻击

如果是的话，那么你需要再次思考，因为该公司正在警告其用户另一次黑客攻击。

去年，雅虎承认了有记录以来最大的两起数据泄露事件。其中一次发生在2013年，披露了超过10亿雅虎用户账户的个人信息。

好吧，事情又发生了。

雅虎周三向其用户发出了另一轮通知，警告他们的账户可能在去年就已被泄露。此前，一项正在进行的调查发现，有证据表明黑客使用伪造的cookie记录没有密码的账户。

该公司在2016年12月的安全更新中悄悄披露了数据泄露，但这一消息在很大程度上被忽略了，因为雅虎的声明提供了2013年8月发生的另一次数据泄露的信息，涉及超过10亿个账户。

周三发给一些雅虎用户的警告信息如下：

“根据正在进行的调查，我们认为2015年或2016年可能使用了伪造的cookie来访问您的帐户”。

受此次攻击影响的客户总数仍不得而知，不过该公司已确认，这些账户受到雅虎邮件服务安全漏洞的影响。

该漏洞允许“国家资助的攻击者”使用从公司内部系统窃取的软件创建的“伪造cookie”，无需密码即可访问雅虎账户。

“伪造Cookie”是一种数字密钥，可以在不重新输入密码的情况下访问帐户。

以下是攻击的工作原理：

黑客没有窃取密码，而是通过伪造名为cookie的小网络浏览器令牌，欺骗网络浏览器，让其告诉公司受害者已经登录。

每次登录任何服务时都会使用cookies，并选中“让我登录”或“记住我”的复选框。
因此，即使您关闭窗口或关闭系统，您也不必重新登录帐户，因为浏览器存储的cookie告诉在线服务您已经提交了用户名和密码。

以下是雅虎发言人对最近披露的违规行为的评论：

“正如我们之前所披露的，我们的外部法医专家一直在调查伪造cookie的创建，这些cookie可能会让入侵者在没有密码的情况下访问我们用户的帐户。”

“调查已经确定了我们认为被窃取或使用伪造cookie的用户账户。雅虎正在通知所有可能受影响的账户持有人”。

警告通知已发送给几乎所有受影响的雅虎用户，但调查仍在进行中。

根据彭博社的一份报告，周三发给雅虎客户的通知，就在同一天，据报道，在去年两起安全违规事件曝光后，Verizon将电信服务向雅虎支付的价格下调至少2.5亿美元。

降价似乎表明这桩陷入困境的交易将得以完成。

随着又一个被披露的安全漏洞，人们可能会考虑关闭与雅虎相关的在线账户。