雅虎披露2013年超10亿账户泄露事件声明(全文)
雅虎周三宣布,公司最近才发现一起发生在3年多之前的数据泄密事故,可能有超过10亿名用户的电子邮箱地址、电话号码、生日、散列的密码和加密或未加密的安全问题及答案等个人资料失窃,影响面远远超过公司上一次披露的黑客入侵事件。
雅虎发表的声明全文如下:
雅虎最新发现一些涉及到雅虎用户帐户的数据安全问题。雅虎已经采取措施来保护用户帐户的安全,并将与执法机关密切合作。
正如雅虎在11月披露的消息所言,执法机关为公司提供了一些数据档案,据第三方声称这些数据档案都是雅虎的用户资料。公司在外部法证专家的帮助下分析了这些数据,发现它们似乎确实是雅虎的用户资料。基于法证专家对这些数据的进一步分析,雅虎相信一个未经授权的第三方在2013年8月偷走了这些数据,这些数据涉及到超过10亿的用户帐户。公司之前未能发现与此有关的黑客入侵行为。雅虎相信这起事故可能与公司在2016年9月22日披露的那起事故不是同一起事故。
对于可能受到影响的帐户而言,失窃的用户帐户信息可能包括姓名、电子邮箱地址、电话号码、生日、散列密码以及加密或未加密的安全问题及答案。调查表明,失窃的信息并不包括文本形式的密码、支付银行卡资料或银行账户信息。支付银行卡资料或银行帐户信息并未被保存在系统中,公司相信这些信息没有受到影响。
雅虎正在通知可能受到影响的用户并采取了一些措施来保护他们的帐户,包括要求用户更改密码。雅虎还将未加密的安全问题及答案改成了失效状态,以免不法分子利用这些信息入侵用户帐户。
另外,雅虎以前曾披露公司聘请的外部法证专家正在调查入侵者通过创建虚假cookie来绕过密码入侵用户帐户的事情。从正在进行的调查来看,公司相信一家未经授权的第三方获取了公司的知识产权代码,学会了如何伪造cookie。外部法证专家已经发现一些用户帐户被伪造的cookie欺骗或利用。雅虎正在通知这些受到影响的帐户的所有人,并且已经让伪造的cookie失效。公司认为这些行为与公司在2016年9月22日披露的数据失窃事故中的黑客行为有关联。
雅虎建议用户检查所有的在线帐户,看看有没有可疑的行为,并且修改密码和安全问题及答案。如果其他帐户使用的密码和安全问题及答案与雅虎帐户的对应资料相同或相似,也应尽快修改。雅虎还建议用户不要点击可疑电子邮件中的链接或下载其附件,谨防请求主动发送个人信息的通讯行为。另外,雅虎建议用户使用雅虎帐户密钥(Yahoo Account Key),这是一款简单的认证工具,使用它登录雅虎服务则无需输入密码。
Via TNW中文站(编译/林靖东)
相关文章:
微博:新浪微博 - 腾讯微博
QQ群:28023830 - 微信公众号:yseeker
品味雅虎投稿信箱:tougao@yseeker.com
