入侵雅虎公司的黑客不仅从超过10亿个账户中窃取了个人信息，还进入了该公司自己的软件并生成了伪造的小型文字档案(cookies)，这可让他们无需密码就能进入用户的账户。

伪造的cookies可让黑客更令人信服地冒充另一个用户，加剧安全漏洞的破坏性。例如，伪造他们正在使用的计算机是一台熟悉的计算机的假象。伪造的cookies还能让黑客保持登入被入侵的账户，并监控账户的活动。

雅虎周三称，一个未经授权的第三方访问了该公司的自有代码，目的是了解如何伪造其cookies。雅虎首席安全长Bob Lord表示，伪造的cookies与9月披露的超过5亿账户遭入侵事件存在关联。雅虎在11月向证券监管机构提交的文件中首次对这起事件进行了说明。

雅虎表示，已经使伪造的cookies失效，并正通知2015和2016年账户受到影响的用户。雅虎的一位发言人不愿透露遭入侵的账户中有多少受到了伪造cookies的影响。

Via　华尔街日报　DREW FITZGERALD

微博：新浪微博 - 腾讯微博
QQ群：28023830 - 微信公众号：yseeker
品味雅虎投稿信箱：tougao@yseeker.com