剛剛被美國通訊巨頭威訊(Verizon)宣布收購運營業務的雅虎(Yahoo)陷入用戶帳號疑似被盜風波。8月1日,網名為「Peace_of_Mind」(下稱 Peace)的黑客在暗網(Darknet)交易市場 The Real Deal 出售據稱是2億個被竊取的雅虎用戶帳號資料,售價為3個比特幣(8月3日市價約1630美元)。雅虎表示,正在就這起疑似用戶資料洩露案的真實性展開調查。
Vice 旗下在線出版物 Motherboard 於8月1日率先報導了這起事件,他們從 Peace 提供的大約5000條用戶數據樣本中進行檢測,發現其中部分為活躍的雅虎帳號,部分已經停用或無效。大部分洩露的雅虎帳號數據包含用戶名、密碼、出生日期和備份郵箱地址,但目前尚無法評估有多少用戶受到影響。
我們十分重視這類問題,目前我們的安全團隊正在調查這一事件是否屬實。雅虎致力於保護我們所有用戶信息的安全,並且始終鼓勵用戶創建高強度密碼,或者是使用雅虎帳號密鑰(Yahoo Account Key)服務,並且在不同平台上使用不同的密碼。
Peace 也是今年5月挂牌出售1.17億個 LinkedIn 帳戶信息和3.6億封 MySpace 郵件的黑客。此外,他還曾出售過其它在線服務如 Fling.com 和 Linux Mint 論壇的數據。
Peace 對 Motherboard 表示,他已經私下交易洩露數據一段時間了,但現在才決定公開出售。據他透露,這些帳號最有可能是2012年被盜的。
雅虎也並非首次捲入用戶帳號安全事件。2012年7月,一個名為 D33Ds Company 的黑客團體就曾宣稱黑入雅虎用戶資料庫。該團體公布了45萬餘份純文字格式的郵件地址和密碼,並附上對雅虎應加強安全防護之警告。
雅虎當時回應稱,這45萬份用戶數據中,只有不到5%的帳號是有效的。但 OneID 公司首席信息安全科學家 Jim Fenton 認為,入侵雅虎的黑客可能只是貼出了一部分戰利品進行展示,其他數據流入地下黑市能為其牟取更多利益。
聲音
用戶應該留意那些來自自己信任好友的奇怪郵件,這很有可能意味着他們的帳戶已被盜用。重置您的在線服務密碼,尤其是你的銀行密碼,如果你認為你的電子郵件可能已被盜用。
所有的跡象都表明,在2012年雅虎改變自己儲存和保護密碼的方式之前,這個漏洞就存在了。這筆曝光的舊數據交易,似乎與日前雅虎被賣給威訊(Verizon)有關。
雅虎郵箱
來源:Motherboard、每日電訊報、今日美國