前科技巨頭雅虎近期公布的消息顯示:在過去兩年間,有入侵者進行「cookie偽造」攻擊,造成3200萬帳戶洩露。特別要說明的是,此次洩露事件是獨立存在的,和前幾個月爆出的兩次大規模數據洩露不一樣(2016年12月曝10億帳戶洩露,9月曝5億帳戶洩露)。當然,3200萬這個數字現在聽起來根本就不算什麼。
雅虎是在周三的一份監管機構文件中提到,本次cookie偽造攻擊事件和「具國家背景的黑客」有關,和雅虎於2014年發生的一次5億帳戶被竊的事件幕後攻擊者應該是同一波人。
雅虎在給美國證券交易委員會(SEC)提交的報告中說:「根據調查,我們認為未經授權的第三方訪問了公司的專屬代碼,來學習如何偽造相應cookie。」
「外部鑑定專家已經確定有將近3200萬帳戶在2015和2016年間遭到cookie偽造攻擊。我們認為其中的某些入侵行為,與2014年的安全事件相關國家背景支持的攻擊者有關。」
通過cookie偽造攻擊(Forged cookies),攻擊者在無需輸入密碼的情況下,就能訪問受害者帳戶。利用偽造的cookie,入侵者無需竊取密碼,只需偽造一個web瀏覽器token即cookie來誘使瀏覽器相信雅虎用戶已經登錄。
實際上,雅虎早在去年12月就揭露了這起cookie偽造事件,但是在當時因為爆出2013年10億帳戶洩露這樣的大新聞在前,這個事情就完全被忽略了。從上個月開始,雅虎就開始警告其用戶可能被入侵,並陳述用戶可能被竊取的信息包括姓名、郵箱、哈希密碼、電話號碼、生日和一些加密或者未加密的安全問題和答案。
當然,也是有好消息的,雅虎已經將那些偽造cookie都「失效」了,所以入侵者不能再次訪問用戶帳戶。
在雅虎發布cookie偽造攻擊事件的同時,CEO Marissa Mayer在Tumblr上發布博客稱:「因為這些安全事件發生在她的任期,因此她會放棄去年差不多200萬美金的年終獎和差不多價值1200萬美元的股票,將這些錢發給公司辛勤工作的員工,以表彰他們在2016年為雅虎做出的貢獻。」
除了這些,在雅虎發布「企業高管及法律顧問意識到這是一起有國家背景資助的黑客行為,入侵者利用公司的帳戶管理工具訪問特定用戶帳號」的聲明之後,企業的總法律顧問兼秘書Ronald Bell也在周三提交了辭呈。
雅虎接二連三的安全事故已經嚴重打擊了雅虎對用戶的信譽,就在上個月雅虎以從起初估值48億美元到最終同意以3.5億美元的超低價被Verizon通信公司收購。
到目前為止,已經有超過40起針對雅虎安全事故的集體訴訟,公司表示在2016年他們已經在調查取證、補救活動和法律費用上花費了1600萬美元。
參考來源:thehackernews
稿源:freebuf.com