日前雅虎正式承认其遭遇史上最严重数据泄露事故,其中至少5亿用户账户数据被泄露。
雅虎数据泄露事故发生在2014年年底,不过直到“最近调查”出来时该公司才正式承认。雅虎没有提供事件的具体时间表,但FlashPoint证实最近发现2亿雅虎账户在深网出售。
“在2016年8月2日,Flashpoint注意到在TheRealDeal Marketplace由‘peace_of_mind’张贴的广告——出售2亿雅虎账户,”FlashPoint公司网络犯罪情报高级分析师Vitali Kremez表示,“peace_of_mind也是此前FlashPoint报道销售被泄露MySpace和LinkedIn账户凭证的同一个人。这个人是TheRealDeal Marketplace联合创始人,根据其过去的活动以及客户的反馈,此人有着极高的信誉度。”
根据其他新闻报道,在深网雅虎账户出售让雅虎公司开始调查潜在的海量数据泄露事故。在雅虎数据泄露事故之前,LinkedIn和Dropbox也遭遇数据泄露事故,导致用户电子邮件和信息泄露。
Blink Digital Security公司高级安全研究人员兼负责任Keatron Evans称,雅虎需要提供关于此次攻击的更多细节。“我想要知道的是雅虎什么时候发现这一攻击,如果这发生在2014年,那就是说该公司在过去两年就已经知道攻击事故,为什么他们花了这么长的时间才透露数据泄露事故的程度,”Evans称,“这种缓慢的反应可能会成为公关噩梦,并损害该公司的声誉,这也将说明如果没有正确的培训和工具我们非常难以确定攻击的根本原因,即使是发生在数月前或者数年前的攻击事故。”
在一份声明中,雅虎称这次攻击是国家资助的攻击,但没有指出具体国家。雅虎也试图安抚客户他们最有价值的数据并没有受到影响。
“账户信息可能包含名字、邮件地址、电话号码、出生日期、哈希密码以及加密和未加密的安全提示问题及答案,”雅虎写道,“正在进行的调查表明,泄露的信息并不包含五保户的密码、支付卡数据或银行账户信息;支付卡数据和银行账户信息没有存储在受影响的系统中。”
eSentire公司首席执行官J. Paul Haynes称,我们很高兴看到雅虎没有对原因下结论。
“这次数据泄露事故的时机非常奇怪,鉴于雅虎泄露的账户还在待售状态;然而,现在责怪国家资助的攻击者优点为时过早,”Haynes称,“如果没有完整的案例文件,几乎不可能对攻击者得出结论。”
更为复杂的是,Verizon正在考虑以48亿美元收购雅虎公司,该交易仍在监管部门审查中。Verizon发言人称该公司在上周二才得知雅虎的大型数据泄露事故,但表示Verizon对该数据泄露事故带来的影响只有“有限的信息以及了解”。
IDT911公司主席兼创始人Adam Levin称:“所有雅虎邮箱用户必须立即更改其雅虎用户ID及密码,还应该更改用于访问其他账户的重复的登录信息。我们生活在数据泄露事故无法避免的环境中,消费者应该使用高强度密码保护自己,在社交、金融、零售和电子邮件账户不要使用相同的信息,并定期更新;启用双因素身份验证;始终警惕网络钓鱼攻击。”
雅虎建议用户检查其在线账户是否存在任何可疑活动,更改账户信息,避免点击可疑链接以及使用雅虎账户双因素验证工具。
FIDO联盟执行主管Brett McDowell表示,这应该是对所有人的警示,单靠高强度密码可能不够,“网络罪犯知道消费者会在网站和应用使用相同的密码,这也是为什么这些泄露的密码凭证可能用于后续的诈骗的原因。我们需要阻止网络罪犯的这种行为,唯一的方法是不要完全依靠密码。这些数据泄露事故的频率和严重程度不断提高,这种趋势还会继续发展,除非我们不再依靠密码安全,而采用强大的身份验证机制。”
Seclore公司首席执行官Vishal Gupta表示,这种攻击的后果可能是灾难性的。“现在已经有5亿电话号码泄露,我们不难想象这些个人信息可能被恶意利用。企业应该采取更严格的安全措施以及以数据为中心的安全解决方案,因为攻击者总是会想出创造性的方法来将敏感信息用于恶意目的。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
翻译
相关推荐
-
2017:更多IoT攻击堆高数据泄露事故
不断叠高的数字让企业对这类事故似乎变得有些麻木,实际上这是非常危险的。在新一年,由IoT攻击带来的数据泄露事故或成为最大的安全问题。而目前,企业仍未做好应对威胁形势的准备……
-
数据泄露事故诉讼是否加重了人们的不安?(下)
最近很多企业数据泄露事故最终导致集体诉讼,并且,这些数据泄露诉讼还揭示了令人不安的趋势:现在安全问题的成本正在不断增加……
-
真相了:超90%的数据泄漏事故本是可以避免的……
网络信任联盟对2014年1000多起数据泄露事故进行了分析,得出的结论是,90%的事故是可以很容易被阻止的。
-
谷歌、微软等巨头组建联盟打击网络钓鱼
谷歌、Facebook、微软、雅虎以及其他11家公司周一联合宣布,组建新联盟DMARC打击网络钓鱼,开发新电邮标准防止钓鱼事件的发生。