雅虎承认在2014年数据泄露,5亿账户信息仅售3个比特币
雅虎公司承认他们在2014年时数据库被黑客窃取,目前确认受影响的账户数量超过5亿。
这也是目前全球被公开承认的数量最大的一次数据泄露问题,现在来看似乎连补救都没用了。
雅虎的这次数据泄露事件和之前云存储服务商Dropbox类似,Dropbox在早些事件承认超过6800万账户被泄露。
巧合的是Dropbox的这次数据泄露时间也同样是在几年前,而不是数据遭到泄露后就立刻被发现了。
无论是雅虎还是Dropbox对于数据泄露的处理方法都是让人感觉悲哀的,原因在于他们难道是今天才发现了数据泄露了吗?显然不是。
根据雅虎和Dropbox官方承认的消息是,他们在数据泄露事件发生后已经知道了这件事件。
然而以他们自己的预估泄露的数据可能只有一点点,因此没有必要加强账户安全控制和通知所有的用户。
正如绝大多数网站数据泄露一样,雅虎泄露的数据里包括电子邮件、家庭住址、用户名、密码、电话号码和其他信息等等。
稍微不一样的是雅虎把用户的安全问题和答案也是存储在一起的,并且还TM是通过明文进行存储的!
雅虎对用户账户的密码进行了MD5加密,其他的所有内容未经过任何的加密措施。尽管加密不一定有用,但至少加密也是一种安全措施。
雅虎另外表示用户账户的支付卡数据、银行账户信息以及特定的密码与上述信息分开存储,因而庆幸的躲避了这次数据泄露事件。
雅虎目前已经发布了安全提醒:
- 正在通知潜在的受影响的用户,通知内容可以在这里查看;
- 正在要求潜在受影响的用户及时更改密码,并采取备用账户验证;
- 未经加密的安全问题和答案不能被用来登录和访问对应的账户;
- 建议自2014年起至今从未修改过密码的所有用户立刻更新密码;
- 他们将继续加强系统检测来防止未经授权的用户访问对应的账户;
事实上我们认为雅虎目前采取的措施并没有什么卵用,因为这些数据已经在黑市里流转了两年多。
而这份庞大的数据库在黑市中的价格仅仅为3个比特币(约合人民币12,000元),按照黑市中数据库流转的惯例来看,雅虎的这份数据已经不知道了经过了多少个黑客的手中。
加之已经泄露的时间是如此之久,不法分子有足够的时间利用这些数据进行各种利用,比如用户诈骗、发送广告、撞库来获得用户其他网站的密码等等。
所幸雅虎是美国的公司,这次事件的公布也必然会有用户和公益组织联合起诉雅虎。不幸的是即便是胜诉除了获得一些赔偿外似乎也没有什么其他的用处了。