雅虎再次入侵！悄悄地警告受影響的用戶新的攻擊

如果是的話，那么你需要再次思考，因為該公司正在警告其用戶另一次黑客攻擊。

去年，雅虎承認了有記錄以來最大的兩起數據泄露事件。其中一次發生在2013年，披露了超過10億雅虎用戶賬戶的個人信息。

好吧，事情又發生了。

雅虎周三向其用戶發出了另一輪通知，警告他們的賬戶可能在去年就已被泄露。此前，一項正在進行的調查發現，有證據表明黑客使用偽造的cookie記錄沒有密碼的賬戶。

該公司在2016年12月的安全更新中悄悄披露了數據泄露，但這一消息在很大程度上被忽略了，因為雅虎的聲明提供了2013年8月發生的另一次數據泄露的信息，涉及超過10億個賬戶。

周三發給一些雅虎用戶的警告信息如下：“根據正在進行的調查，我們認為2015年或2016年可能使用了偽造的cookie來訪問您的帳戶”。

受此次攻擊影響的客戶總數仍不得而知，不過該公司已確認，這些賬戶受到雅虎郵件服務安全漏洞的影響。

該漏洞允許“國家資助的攻擊者”使用從公司內部系統竊取的軟件創建的“偽造cookie”，無需密碼即可訪問雅虎賬戶。

“偽造Cookie”是一種數字密鑰，可以在不重新輸入密碼的情況下訪問帳戶。

以下是攻擊的工作原理：

黑客沒有竊取密碼，而是通過偽造名為cookie的小網絡瀏覽器令牌，欺騙網絡瀏覽器，讓其告訴公司受害者已經登錄。

每次登錄任何服務時都會使用cookies，并選中“讓我登錄”或“記住我”的復選框。

因此，即使您關閉窗口或關閉系統，您也不必重新登錄帳戶，因為瀏覽器存儲的cookie告訴在線服務您已經提交了用戶名和密碼。

以下是雅虎發言人對最近披露的違規行為的評論“正如我們之前所披露的，我們的外部法醫專家一直在調查偽造cookie的創建，這些cookie可能會讓入侵者在沒有密碼的情況下訪問我們用戶的帳戶。”“調查已經確定了我們認為被竊取或使用偽造cookie的用戶賬戶。雅虎正在通知所有可能受影響的賬戶持有人”。

警告通知已發送給幾乎所有受影響的雅虎用戶，但調查仍在進行中。

根據彭博社的一份報告，周三發給雅虎客戶的通知，就在同一天，據報道，在去年兩起安全違規事件曝光后，Verizon將電信服務向雅虎支付的價格下調至少2.5億美元。

降價似乎表明這樁陷入困境的交易將得以完成。

隨著又一個被披露的安全漏洞，人們可能會考慮關閉與雅虎相關的在線賬戶。