返回

雅虎再次入侵!悄悄地警告受影响的用户新的攻击

发布时间:2022-08-10 03:48:35 462
# 漏洞# 数据# 支付# 黑客# 入侵
Yahoo Hacked Once Again! Warns Affected Users About New Attack


如果是的话,那么你需要再次思考,因为该公司正在警告其用户另一次黑客攻击。

去年,雅虎承认了有记录以来最大的两起数据泄露事件。其中一次发生在2013年,披露了超过10亿雅虎用户账户的个人信息。

好吧,事情又发生了。

雅虎周三向其用户发出了另一轮通知,警告他们的账户可能在去年就已被泄露。此前,一项正在进行的调查发现,有证据表明黑客使用伪造的cookie记录没有密码的账户。

该公司在2016年12月的安全更新中悄悄披露了数据泄露,但这一消息在很大程度上被忽略了,因为雅虎的声明提供了2013年8月发生的另一次数据泄露的信息,涉及超过10亿个账户。

周三发给一些雅虎用户的警告信息如下:
“根据正在进行的调查,我们认为2015年或2016年可能使用了伪造的cookie来访问您的帐户”。
受此次攻击影响的客户总数仍不得而知,不过该公司已确认,这些账户受到雅虎邮件服务安全漏洞的影响。

该漏洞允许“国家资助的攻击者”使用从公司内部系统窃取的软件创建的“伪造cookie”,无需密码即可访问雅虎账户。

“伪造Cookie”是一种数字密钥,可以在不重新输入密码的情况下访问帐户。

以下是攻击的工作原理:


黑客没有窃取密码,而是通过伪造名为cookie的小网络浏览器令牌,欺骗网络浏览器,让其告诉公司受害者已经登录。

每次登录任何服务时都会使用cookies,并选中“让我登录”或“记住我”的复选框。
 
因此,即使您关闭窗口或关闭系统,您也不必重新登录帐户,因为浏览器存储的cookie告诉在线服务您已经提交了用户名和密码。

以下是雅虎发言人对最近披露的违规行为的评论:
“正如我们之前所披露的,我们的外部法医专家一直在调查伪造cookie的创建,这些cookie可能会让入侵者在没有密码的情况下访问我们用户的帐户。”
“调查已经确定了我们认为被窃取或使用伪造cookie的用户账户。雅虎正在通知所有可能受影响的账户持有人”。
警告通知已发送给几乎所有受影响的雅虎用户,但调查仍在进行中。

根据彭博社的一份报告,周三发给雅虎客户的通知,就在同一天,据报道,在去年两起安全违规事件曝光后,Verizon将电信服务向雅虎支付的价格下调至少2.5亿美元。

降价似乎表明这桩陷入困境的交易将得以完成。

随着又一个被披露的安全漏洞,人们可能会考虑关闭与雅虎相关的在线账户。

 

特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
评论区(0)
按点赞数排序
用户头像
精选文章
thumb 中国研究员首次曝光美国国安局顶级后门—“方程式组织”
thumb 俄乌线上战争,网络攻击弥漫着数字硝烟
thumb 从网络安全角度了解俄罗斯入侵乌克兰的相关事件时间线