雅虎披露3200萬賬戶被黑客利用“曲奇偽造攻擊”

雅虎在過去幾個月披露了兩起大規模數據泄露事件，除此之外，雅虎的賬戶也受到了影響。

這家前科技巨頭在周三提交的一份監管文件中表示，cookie caper很可能與“同一個國家贊助的參與者”有關，后者被認為是2014年另一起導致5億用戶賬戶被盜的數據泄露事件的幕后黑手。

雅虎在提交給美國證券交易委員會（SEC）的年度報告中表示：“根據調查，我們認為有未經授權的第三方訪問了該公司的專有代碼，以了解如何偽造某些cookie”。

“外部法醫專家已經確定了大約3200萬個用戶帳戶，他們認為這些帳戶在2015年和2016年使用或獲取了偽造的cookie。我們認為，其中一些活動與被認為對2014年安全事件負責的同一個國家贊助的參與者有關”。

"偽造餅干“是允許訪問帳戶而無需重新輸入密碼的數字密鑰。

黑客沒有竊取密碼，而是通過偽造名為cookie的小網絡瀏覽器令牌，欺騙網絡瀏覽器告訴雅虎受害者已經登錄。

雅虎在去年12月披露了cookie caper，但這一消息在很大程度上被忽視，因為雅虎的聲明提供了2013年8月發生的另一次數據泄露的信息，涉及超過10億個雅虎賬戶。

該公司在一份聲明中表示，黑客可能盜取了姓名、電子郵件地址、散列密碼、電話號碼、出生日期，在某些情況下，還盜取了加密或未加密的安全問題和答案。

就在上個月，雅虎開始警告其客戶，一些國家贊助的參與者使用復雜的cookie偽造攻擊訪問了他們的雅虎賬戶。

然而，好消息是，這些偽造的cookie已經被雅虎“作廢”，因此無法用于訪問用戶帳戶。

雅虎首席執行官瑪麗莎·梅耶失去獎金

與此同時，當雅虎披露cookie caper的范圍時，雅虎首席執行官瑪麗莎·梅耶（Marissa Mayer）表示，她將放棄200萬美元的年度獎金，以及2017年的任何股權獎勵（通常約1200萬美元的股票），以回應她任職期間發生的安全事件。

“當我在2016年9月得知我們的大量用戶數據庫文件被盜時，我與團隊一起向用戶、監管機構和政府機構披露了這起事件，”梅耶在周一發布在Tumblr上的一份說明中寫道。

“然而,我公司的CEO,因為這個事件發生在我的任期內,我已經同意放棄我的年度獎金和年度股票今年格蘭特,表達了我的愿望,我的獎金分配給我們公司的辛勤工作的員工,在2016年對雅虎的成功貢獻了這么多”。

除此之外，雅虎的總法律顧問兼秘書羅納德·貝爾（Ronald Bell）也于周三辭職，此前該公司披露“高級管理人員和相關法律人員知道，一名國家贊助的演員利用該公司的賬戶管理工具訪問了某些用戶賬戶”。

雅虎安全事件的不斷曝光嚴重打擊了雅虎的信譽。就在上個月，雅虎（Yahoo）和Verizon Communications Inc.在兩起數據泄露事件發生后，同意將即將進行的收購交易的價格降低3.5億美元。

該交易之前最終敲定為48億美元，現在的現金價值約為44.8億美元，預計將在第二季度完成。