雅虎披露10亿用户帐户失窃

雅虎官方证实超过10亿用户帐户在2013年的cookies伪造攻击中失窃，与之前披露的5亿用户帐户失窃不相关。雅虎称，未经授权的第三方在2013年8月窃取了超过10亿账号的数据，窃取的信息包括了用户名、电子邮件地址、电话号码、出生日期、MD5未加盐哈希密码，部分加密或未加密的安全问题和答案。雅虎称，密码不是明文的，但MD5哈希密码早就被认为不再安全。雅虎表示，银行账号信息和支付卡信息没有储存在被入侵的服务器上。雅虎称，调查显示攻击者通过学习雅虎的专有代码学会如何伪造cookies，然后利用伪造的cookies不用密码就能访问用户帐户。雅虎已让伪造的cookies失效。它表示在2013年夏天开始使用 bcrypt哈希加盐保护用户密码，但遭到攻击时尚未完成升级。这起安全事故是史上最严重的数据失窃事件，目前还不知道是否会影响到 Verizon 的收购。