第69期安全事件

2016/12/05-2016/12/11


英文标题 Yahoo says hackers stole ONE BEELLION user accounts
中文标题 雅虎官方证实10亿用户账户信息失窃
作者及单位 Darren Pauli ;The Register
内容概述
近日,雅虎官方证实超过10亿用户账户信息在2013年的 cookies伪造攻击中失窃,这起事件与之前披露的5亿用户账户信息失窃不相关。雅虎称,未经授权的第三方在2013年8月窃取了超过10亿用户账号的数据,窃取的信息包括了用户名、电子邮件地址、电话号码、出生日期、MD5未加盐哈希密码以及部分加密或未加密的安全问题和答案。雅虎称,密码不是明文的,但MD5哈希密码早就被认为不再安全。雅虎表示,银行账号信息和支付卡信息没有储存在被入侵的服务器上。雅虎称,调查显示攻击者通过学习雅虎的专有代码学会如何伪造成 cookies,然后利用伪造的 cookies不用密码就能访问用户账户。雅虎已让伪造的 cookies失效。它表示在2013年夏天开始使用 BCrypt哈希加盐保护用户密码,但遭到攻击时尚未完成升级。
新闻链接
https://www.theregister.com/2016/12/14/one_billion_yahoo_accounts_stolen/?utm_source=tuicool&utm_medium=referral