设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 资讯 查看内容

雅虎又泄露3200万账户数据,这次是因为“cookie伪造”攻击

2017-3-3 14:58| 发布者: 随便、先森。| 查看: 2281| 评论: 1|来自: FreeBuf

摘要: 前科技巨头雅虎近期公布的消息显示:在过去两年间,有入侵者进行“cookie伪造”攻击,造成3200万账户泄露。特别要说明的是,此次泄露事件是独立存在的,和前几个月爆出的两次大规模数据泄露不一样。当然,3200万这个 ...

前科技巨头雅虎近期公布的消息显示:在过去两年间,有入侵者进行“cookie伪造”攻击,造成3200万账户泄露。特别要说明的是,此次泄露事件是独立存在的,和前几个月爆出的两次大规模数据泄露不一样。当然,3200万这个数字现在听起来根本就不算什么。

Cookie伪造攻击

雅虎是在周三的一份监管机构文件中提到,本次cookie伪造攻击事件和“具国家背景的黑客”有关,和雅虎于2014年发生的一次5亿账户被窃的事件幕后攻击者应该是同一波人。

雅虎在给美国证券交易委员会(SEC)提交的报告中说:“根据调查,我们认为未经授权的第三方访问了公司的专属代码,来学习如何伪造相应cookie。”

“外部鉴定专家已经确定有将近3200万账户在2015和2016年间遭到cookie伪造攻击。我们认为其中的某些入侵行为,与2014年的安全事件相关国家背景支持的攻击者有关。”

通过cookie伪造攻击(Forged cookies),攻击者在无需输入密码的情况下,就能访问受害者账户。利用伪造的cookie,入侵者无需窃取密码,只需伪造一个web浏览器token即cookie来诱使浏览器相信雅虎用户已经登录。

实际上,雅虎早在去年12月就揭露了这起cookie伪造事件,但是在当时因为爆出2013年10亿账户泄露这样的大新闻在前,这个事情就完全被忽略了。从上个月开始,雅虎就开始警告其用户可能被入侵,并陈述用户可能被窃取的信息包括姓名、邮箱、哈希密码、电话号码、生日和一些加密或者未加密的安全问题和答案。

当然,也是有好消息的,雅虎已经将那些伪造cookie都“失效”了,所以入侵者不能再次访问用户账户。

CEO Marissa Mayer损失惨重

在雅虎发布cookie伪造攻击事件的同时,CEO Marissa Mayer在Tumblr上发布博客称:“因为这些安全事件发生在她的任期,因此她会放弃去年差不多200万美金的年终奖和差不多价值1200万美元的股票,将这些钱发给公司辛勤工作的员工,以表彰他们在2016年为雅虎做出的贡献。”

除了这些,在雅虎发布“企业高管及法律顾问意识到这是一起有国家背景资助的黑客行为,入侵者利用公司的账户管理工具访问特定用户账号”的声明之后,企业的总法律顾问兼秘书Ronald Bell也在周三提交了辞呈。

雅虎接二连三的安全事故已经严重打击了雅虎对用户的信誉,就在上个月雅虎以从起初估值48亿美元到最终同意以3.5亿美元的超低价被Verizon通信公司收购。

到目前为止,已经有超过40起针对雅虎安全事故的集体诉讼,公司表示在2016年他们已经在调查取证、补救活动和法律费用上花费了1600万美元。

*参考来源:thehackernews,FB小编孙毛毛编译


鲜花

握手

雷人

路过

鸡蛋

相关阅读

发表评论

最新评论

引用 hubert 2017-5-1 14:34
5345345654 ...

查看全部评论(1)

  • 解决 Wn10无法连接 蓝牙耳
  • Python之Selenium知识总结
  • 2万字带你了解Selenium全攻
  • 解决网站网页不能复制,不
  • 我对ddos攻击的见解以及ufo
论坛精选
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程
NTP放大反射DDOS攻
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程 图上是国外测的 本文实测 能有二三
DDOS:NTP、SSDP、DNS、SNMP、RIP 放大反射攻击、扫描脚本
DDOS:NTP、SSDP、D
NTP、SSDP、DNS、SNMP、RIP 放大反射攻击扫描脚本 不懂的 请自行谷歌 声明:本文转
返回顶部