雅虎向受到伪造饼干伤害的用户揭露更多违规行为[更新]

雅虎又向用户发出了新一轮通知,警告一些用户,他们的账户可能在去年就被攻破了。这些帐户受到雅虎邮件服务漏洞的影响,该漏洞允许攻击者(根据雅虎的说法,很可能是一个状态参与者)使用从雅虎内部系统中窃取的软件创建的伪造cookie来访问用户帐户,而无需密码。

雅虎本周在电子邮件中通知一些用户,根据正在进行的调查,我们认为2015年或2016年可能使用了伪造的cookie来访问您的帐户。这些消息涉及2014年使用cookie漏洞的可能违规行为。美联社 Raphael Satter报道说,雅虎发言人承认公司正在通知用户他们的账户可能遭到破坏,但不会透露有多少用户受到影响。受此警告影响的宾西法尼亚大学数学生物学研究小组的约书亚·普罗金在推特上贴出了这条消息的屏幕截图:

希望饼干是由一个以美食闻名的州制作的。#雅虎#安全#烘焙图片. Twitter . com / 7gceed 31

—Joshua b . Plotkin ( @ jplotkin ) 2017年2月15日

,漏洞本身并不是新的启示。雅虎此前曾在2016年10月提交给SEC的文件中悄悄地宣布了这一基于cookie的攻击。雅虎在2016年12月14日发布的一份安全公告中解释说:“伪造的饼干可以让入侵者在没有密码的情况下访问用户帐户”。根据雅虎正在进行的调查,我们认为未经授权的第三方访问我们的专有代码是为了学习如何伪造饼干。

用户通知发布之际,Verizon收购雅虎的谈判即将结束。据彭博报道,收购过程中暴露的一系列安全问题导致Verizon将雅虎48亿美元的价格降了2.5亿美元。

更新,2月16日上午10 : 00 :雅虎发言人今天上午告诉Ars :

正如我们先前披露的那样,我们的外部法医专家一直在调查伪造饼干的行为,这些饼干本可以让入侵者在没有密码的情况下访问我们的用户帐户。调查已经确定了我们认为伪造饼干被取走或使用的用户账户。雅虎正在通知所有可能受到影响的账户持有人。雅虎已宣布伪造的饼干无效,因此不能再使用。

据了解调查情况的人士说,这些通知是违规调查最后阶段的一部分,最新的通知是针对几乎最后确定的违规受害者名单。

Copyright © 2017 pk10的单双大小攻略 版权所有

导航

关闭

欢迎访问