网络巨头雅虎遭受了巨大的数据泄露。该漏洞发生在2014年，导致5亿雅虎用户的信息在黑暗网络上**。

这起盗窃案的规模让最近发生的其他重大数据泄露事件相形见绌，并将雅虎的安全措施置于聚光灯下。

什么被破坏了？

雅虎发表声明，确认并详细说明了这一安全漏洞，声称数据被“国家赞助”的黑客窃取。2014年，该公司的姓名、电子邮件地址、电话号码和安全问题等信息被盗。

"A recent investigation by Yahoo has confirmed that a copy of certain user account information was stolen from our network in late 2014 by what we believe is a state-sp***ored actor. We are working closely with law enforcement authorities and notifying potentially affected users of ways they can further secure their accounts."

一个小小的积极因素是，雅虎知道该漏洞不包含“未受保护的密码、支付卡数据或银行账户信息”。尽管如此，雅虎发布的声明将引起安全研究人员对事件发生时间以及该公司在该漏洞发生后几天的行动的进一步质疑。

提出重要问题

在许多安全研究人员的问题列表中，排在首位的是“为什么要花这么长时间来确认一个如此大规模的黑客攻击？”这也很容易引发其他人的问题。为什么雅虎花了这么长时间才告知用户违规行为？

国家发起的攻击的概念也令人费解。到目前为止，雅虎还没有拿出任何证据证明该漏洞与一个民族国家行为者有关，不过三名拒绝透露姓名的美国情报官员向路透社证实：

"...they believed the attack was state-sp***ored because of its resemblance to previous hacks traced to Russian intelligence agencies or hackers acting at their direction."

即使该漏洞与以前的民族国家攻击相似，这些漏洞通常不会导致私人用户数据的发布。更为罕见的是，在黑暗的网络上找到了那些被广告**的证书。

另一个有趣的是，**数据泄露部分的个人的身份。一位名为“Peace of Mind”的用户也曾**MySpace和LinkedIn漏洞的数据转储，他正在积极兜售这些数据。

SentinelOne安全策略主管杰里迈亚·格罗斯曼（Jeremiah Gros**an）表示，“虽然我们知道这些信息是在2014年底被盗的，但我们没有任何迹象表明雅虎是何时第一次得知这一漏洞的。这是故事中的一个重要细节。”

格罗斯曼认为，由于Peace of Mind是一个“奸商黑客”，他们不太可能得到国家的赞助；因此，“这意味着，我们有可能在他们的系统中看到两个不同的雅虎漏洞和两个不同的黑客组织。”

"The vast number of people affected by this cyber attack is staggering and dem***trates just how severe the c***equences of a security hack can be…We don’t yet know all the details of how this hack happened, but there is a sobering and important message here for companies that acquire and handle personal data. People’s personal information must be securely protected under lock and key – and that key must be impossible for hackers to find." – United Kingdom Information Commissioner Elizabeth Denham

这有多严重？

雅虎的声明证实，绝大多数被盗密码是用bcrypt散列的。散列是将密码转换为固定长度的“指纹”的过程，当用户尝试登录时，该指纹会被调用和检查。它是保护用户信息的一种基本方法，但仍被一些网站所忽视。

Bcrypt被认为是一种安全的散列方法，因为散列也是“盐渍”的，在这个过程中，每个散列将是不同的，即使它保护相同的密码。

密码令人恼火，但很容易更改；母亲的娘家姓则不然。黑客还破解了明文安全问题。长期以来，安全问题一直受到关注，因为它们在识别以前的违规行为中所起的作用，但它们仍然是大多数用户帐户登录系统的主要特征。

因此，雅虎向其所有用户发送了一条密码重置消息。他们鼓励用户：

• 更改您的密码和安全问题和答案，任何其他帐户上，您使用相同或类似的凭据为您的雅虎帐户。
• 检查你的帐户是否有可疑活动。
• 对于任何主动要求您提供个人信息的通信或将您引向要求您提供个人信息的网页，请保持谨慎。
• 避免点击链接或从可疑电子邮件下载附件。

我们不能充分强调第一个建议。我们还建议读者考虑其他网站，他们可能使用了登录凭据，例如照片存储服务Flickr或社交书签网站美国.

你可能已经创建了一个雅虎帐户而没有意识到它是不安全的。

一个古老的大缺口

雅虎现在获得了一个不受欢迎的王冠：史上最大的企业数据泄露事件。

• Yahoo–5亿用户凭据
• MySpace–3.59亿
• LinkedIn——1.64亿
• 土坯–152m
• 巴杜–112米

2016年7月，美国电信巨头Verizon以50亿美元收购了雅虎的互联网业务。不过，这次违约预计不会影响收购。

我们的建议与任何重大数据泄露一样。重置密码。另外，在接下来的几周和几个月里仔细检查你的电子邮件和短信。记住永远不要重复使用您的帐户凭据。

凭证重用；一次也没有。

你的账户被泄露了吗？雅虎花了这么长时间才采取行动，你感到惊讶吗？下一步将违反哪个主要服务？下面让我们知道你的想法！