刚刚被美国通讯巨头威瑞森(Verizon)宣布收购运营业务的雅虎(Yahoo)陷入用户帐号疑似被盗风波。8月1日,网名为“Peace_of_Mind”(下称 Peace)的黑客在暗网(Darknet)交易市场 The Real Deal 出售据称是2亿个被窃取的雅虎用户帐号资料,售价为3个比特币(8月3日市价约1630美元)。雅虎表示,正在就这起疑似用户资料泄露案的真实性展开调查。
Vice 旗下在线出版物 Motherboard 于8月1日率先报导了这起事件,他们从 Peace 提供的大约5000条用户数据样本中进行检测,发现其中部分为活跃的雅虎帐号,部分已经停用或无效。大部分泄露的雅虎帐号数据包含用户名、密码、出生日期和备份邮箱地址,但目前尚无法评估有多少用户受到影响。
我们十分重视这类问题,目前我们的安全团队正在调查这一事件是否属实。雅虎致力于保护我们所有用户信息的安全,并且始终鼓励用户创建高强度密码,或者是使用雅虎帐号密钥(Yahoo Account Key)服务,并且在不同平台上使用不同的密码。
Peace 也是今年5月挂牌出售1.17亿个 LinkedIn 帐户信息和3.6亿封 MySpace 邮件的黑客。此外,他还曾出售过其它在线服务如 Fling.com 和 Linux Mint 论坛的数据。
Peace 对 Motherboard 表示,他已经私下交易泄露数据一段时间了,但现在才决定公开出售。据他透露,这些帐号最有可能是2012年被盗的。
雅虎也并非首次卷入用户帐号安全事件。2012年7月,一个名为 D33Ds Company 的黑客团体就曾宣称黑入雅虎用户数据库。该团体公布了45万余份纯文字格式的邮件地址和密码,并附上对雅虎应加强安全防护之警告。
雅虎当时回应称,这45万份用户数据中,只有不到5%的帐号是有效的。但 OneID 公司首席信息安全科学家 Jim Fenton 认为,入侵雅虎的黑客可能只是贴出了一部分战利品进行展示,其他数据流入地下黑市能为其牟取更多利益。
声音
用户应该留意那些来自自己信任好友的奇怪邮件,这很有可能意味着他们的帐户已被盗用。重置您的在线服务密码,尤其是你的银行密码,如果你认为你的电子邮件可能已被盗用。
所有的迹象都表明,在2012年雅虎改变自己储存和保护密码的方式之前,这个漏洞就存在了。这笔曝光的旧数据交易,似乎与日前雅虎被卖给威讯(Verizon)有关。
雅虎邮箱
来源:Motherboard、每日电讯报、今日美国