Yahoo被駭連連,周三坦承,在2014年被駭導致5億用戶帳號外流之外,2013年也曾經被駭,而且外流帳號這次超過10億筆。
Yahoo資訊安全長Bob Lord指出, 11月接獲警方提供一批號稱是該公司的用戶檔案,經過分析發現,另一個未獲授權的第三方組織在2013年8月竊取了超過10億筆的用戶資料。Yahoo目前尚未能查出駭客的入侵方法,但相信這起事件與Yahoo在9月間揭露的2014年駭客攻擊導致帳號外洩為不同事件。
被竊的用戶資料包括用戶姓名、電郵地址、電話號碼、生日及以MD5雜湊處理的密碼,有些帳號還被取得加密或未加密的安全問題及答案。不過Yahoo表示,被竊資料不包括明碼密碼、信用卡號或銀行帳號。Yahoo表示,受影響的系統並未儲存信用卡及銀行帳號資訊。
Yahoo另外還公佈Yahoo用於產生cookies的專用碼也遭到竊取。有未獲授權的駭客組織利用這批專用碼後偽造產生cookies,即可在不須密碼情況下直接存取用戶帳號。該公司認為此次行動主謀與9月間Yahoo公佈的國家支持駭客組織有關。
Yahoo表示已經通知兩次被駭事件中受影響的用戶,並已封鎖第一起外洩事件的未加密安全問答,要求用戶變更密碼,也封鎖了第二起事件中的偽造cookies,並強化系統防護。此外,Yahoo再次要求用戶變更密碼及安全問題。
這次事件恐將再次損及Yahoo的聲譽。Yahoo 9月間公佈2014年資料外洩事件事件,隨後又坦承早在當時就已知道被駭。此事不但引發用戶提出集體訴訟,也導致有意收購Yahoo的買主Verizon要求降價,甚至打退堂鼓的傳言。