網絡巨頭雅虎遭受了巨大的數據洩露。該漏洞發生在2014年，導致5億雅虎用戶的信息在黑暗網絡上**。

這起盜竊案的規模讓最近發生的其他重大數據洩露事件相形見絀，並將雅虎的安全措施置於聚光燈下。

什麼被破壞了？

雅虎發表聲明，確認並詳細說明了這一安全漏洞，聲稱數據被“國家贊助”的黑客竊取。2014年，該公司的姓名、電子郵件地址、電話號碼和安全問題等信息被盜。

"A recent investigation by Yahoo has confirmed that a copy of certain user account information was stolen from our network in late 2014 by what we believe is a state-sp***ored actor. We are working closely with law enforcement authorities and notifying potentially affected users of ways they can further secure their accounts."

一個小小的積極因素是，雅虎知道該漏洞不包含“未受保護的密碼、支付卡數據或銀行賬戶信息”。儘管如此，雅虎發佈的聲明將引起安全研究人員對事件發生時間以及該公司在該漏洞發生後幾天的行動的進一步質疑。

提出重要問題

在許多安全研究人員的問題列表中，排在首位的是“為什麼要花這麼長時間來確認一個如此大規模的黑客攻擊？”這也很容易引發其他人的問題。為什麼雅虎花了這麼長時間才告知用戶違規行為？

國家發起的攻擊的概念也令人費解。到目前為止，雅虎還沒有拿出任何證據證明該漏洞與一個民族國家行為者有關，不過三名拒絕透露姓名的美國情報官員向路透社證實：

"...they believed the attack was state-sp***ored because of its resemblance to previous hacks traced to Russian intelligence agencies or hackers acting at their direction."

即使該漏洞與以前的民族國家攻擊相似，這些漏洞通常不會導致私人用戶數據的發佈。更為罕見的是，在黑暗的網絡上找到了那些被廣告**的證書。

另一個有趣的是，**數據洩露部分的個人的身份。一位名為“Peace of Mind”的用戶也曾**MySpace和LinkedIn漏洞的數據轉儲，他正在積極兜售這些數據。

SentinelOne安全策略主管傑裡邁亞·格羅斯曼（Jeremiah Gros**an）表示，“雖然我們知道這些信息是在2014年底被盜的，但我們沒有任何跡象表明雅虎是何時第一次得知這一漏洞的。這是故事中的一個重要細節。”

格羅斯曼認為，由於Peace of Mind是一個“奸商黑客”，他們不太可能得到國家的贊助；因此，“這意味著，我們有可能在他們的系統中看到兩個不同的雅虎漏洞和兩個不同的黑客組織。”

"The vast number of people affected by this cyber attack is staggering and dem***trates just how severe the c***equences of a security hack can be…We don’t yet know all the details of how this hack happened, but there is a sobering and important message here for companies that acquire and handle personal data. People’s personal information must be securely protected under lock and key – and that key must be impossible for hackers to find." – United Kingdom Information Commissioner Elizabeth Denham

這有多嚴重？

雅虎的聲明證實，絕大多數被盜密碼是用bcrypt散列的。散列是將密碼轉換為固定長度的“指紋”的過程，當用戶嘗試登錄時，該指紋會被調用和檢查。它是保護用戶信息的一種基本方法，但仍被一些網站所忽視。

Bcrypt被認為是一種安全的散列方法，因為散列也是“鹽漬”的，在這個過程中，每個散列將是不同的，即使它保護相同的密碼。

密碼令人惱火，但很容易更改；母親的孃家姓則不然。黑客還破解了明文安全問題。長期以來，安全問題一直受到關注，因為它們在識別以前的違規行為中所起的作用，但它們仍然是大多數用戶帳戶登錄系統的主要特徵。

因此，雅虎向其所有用戶發送了一條密碼重置消息。他們鼓勵用戶：

• 更改您的密碼和安全問題和答案，任何其他帳戶上，您使用相同或類似的憑據為您的雅虎帳戶。
• 檢查你的帳戶是否有可疑活動。
• 對於任何主動要求您提供個人信息的通信或將您引向要求您提供個人信息的網頁，請保持謹慎。
• 避免點擊鏈接或從可疑電子郵件下載附件。

我們不能充分強調第一個建議。我們還建議讀者考慮其他網站，他們可能使用了登錄憑據，例如照片存儲服務Flickr或社交書籤網站美國.

你可能已經創建了一個雅虎帳戶而沒有意識到它是不安全的。

一個古老的大缺口

雅虎現在獲得了一個不受歡迎的王冠：史上最大的企業數據洩露事件。

• Yahoo–5億用戶憑據
• MySpace–3.59億
• LinkedIn——1.64億
• 土坯–152m
• 巴杜–112米

2016年7月，美國電信巨頭Verizon以50億美元收購了雅虎的互聯網業務。不過，這次違約預計不會影響收購。

我們的建議與任何重大數據洩露一樣。重置密碼。另外，在接下來的幾周和幾個月裡仔細檢查你的電子郵件和短信。記住永遠不要重複使用您的帳戶憑據。

憑證重用；一次也沒有。

你的賬戶被洩露了嗎？雅虎花了這麼長時間才採取行動，你感到驚訝嗎？下一步將違反哪個主要服務？下面讓我們知道你的想法！