雅虎自曝3年前超10亿用户账户资料失窃

新的一天，新的数据泄密事故，严格地说是雅虎又曝光了一起数据泄密事故。

雅虎周三宣布，公司最近才发现一起发生在3年多之前的数据泄密事故，可能有超过10亿名用户的电子邮箱地址、电话号码、生日、散列的密码和加密或未加密的安全问题及答案等个人资料失窃，影响面远远超过公司上一次披露的黑客入侵事件。

这起黑客入侵事故发生于2013年8月，失窃的数据包括用户的姓名、电子邮箱地址、电话号码、生日、散列的密码和加密或未加密的安全问题及答案等。聊以慰藉的是，文本密码、支付银行卡数据和银行账户等信息并未失窃。

雅虎表示，公司已经开始通知受到影响的用户并且采取了一些措施来保护他们的帐户，包括要求用户修改密码等等。

消息公布后立即引起轩然大波，雅虎股票在收市后交易中应声大跌2.5%。同时，这也给原本已经因为上一次披露的黑客入侵事件而陷入僵局的收购交易增加了更多的不确定性。投资者们都在密切关注Verizon对此有何态度和反应，现在还真不好说它是否仍会将这项收购交易继续下去。

据雅虎披露，最新发现的这起泄密事故发生在2013年8月，受黑客入侵影响的用户帐户数量是公司在今年早些时候披露的另一起黑客入侵事故的两倍，后者发生在2014年。最新发现的这起泄密事故可能是历史上规模最大的个人数据泄密案。

雅虎表示，这两起黑客入侵事故之间并无关联，并且这些黑客已经不再控制公司网络了。

在发现第二起数据泄密事故的时候，雅虎和Verizon正在讨论第一起数据泄密事故造成的影响。据知情人士透露，Verizon已在数周前获悉第二起数据泄密事故，现在它还有很多选择，包括重新协商交易的价格或者放弃交易。

Verizon周三表示：“雅虎将继续调查此事，我们将对此进行评估。我们将评估这起新发现的数据泄密事故造成的影响，然后再作出最终的决定。”

雅虎发言人称，雅虎相信公司的价值并将继续推进整合计划。他说：“在调查过程中，我们一直与Verizon的管理层保持着联系。”

据知情人士透露，双方原本已接近达成交易，但是由于发现了这起新的数据泄密事故，收购交易又岌岌可危了。现在，Verizon又回到观望状态，它必须先弄清这起黑客入侵事故对雅虎用户数量或公司整体价值造成了多大的影响。

雅虎发表的声明全文如下：

雅虎最新发现一些涉及到雅虎用户帐户的数据安全问题。雅虎已经采取措施来保护用户帐户的安全，并将与执法机关密切合作。

正如雅虎在11月披露的消息所言，执法机关为公司提供了一些数据档案，据第三方声称这些数据档案都是雅虎的用户资料。公司在外部法证专家的帮助下分析了这些数据，发现它们似乎确实是雅虎的用户资料。基于法证专家对这些数据的进一步分析，雅虎相信一个未经授权的第三方在2013年8月偷走了这些数据，这些数据涉及到超过10亿的用户帐户。公司之前未能发现与此有关的黑客入侵行为。雅虎相信这起事故可能与公司在2016年9月22日披露的那起事故不是同一起事故。

对于可能受到影响的帐户而言，失窃的用户帐户信息可能包括姓名、电子邮箱地址、电话号码、生日、散列密码以及加密或未加密的安全问题及答案。调查表明，失窃的信息并不包括文本形式的密码、支付银行卡资料或银行账户信息。支付银行卡资料或银行帐户信息并未被保存在系统中，公司相信这些信息没有受到影响。

雅虎正在通知可能受到影响的用户并采取了一些措施来保护他们的帐户，包括要求用户更改密码。雅虎还将未加密的安全问题及答案改成了失效状态，以免不法分子利用这些信息入侵用户帐户。

另外，雅虎以前曾披露公司聘请的外部法证专家正在调查入侵者通过创建虚假cookie来绕过密码入侵用户帐户的事情。从正在进行的调查来看，公司相信一家未经授权的第三方获取了公司的知识产权代码，学会了如何伪造cookie。外部法证专家已经发现一些用户帐户被伪造的cookie欺骗或利用。雅虎正在通知这些受到影响的帐户的所有人，并且已经让伪造的cookie失效。公司认为这些行为与公司在2016年9月22日披露的数据失窃事故中的黑客行为有关联。

雅虎建议用户检查所有的在线帐户，看看有没有可疑的行为，并且修改密码和安全问题及答案。如果其他帐户使用的密码和安全问题及答案与雅虎帐户的对应资料相同或相似，也应尽快修改。雅虎还建议用户不要点击可疑电子邮件中的链接或下载其附件，谨防请求主动发送个人信息的通讯行为。另外，雅虎建议用户使用雅虎帐户密钥（Yahoo Account Key），这是一款简单的认证工具，使用它登录雅虎服务则无需输入密码。（编译/林靖东）