日前雅虎正式承认其遭遇史上最严重数据泄露事故，其中至少5亿用户账户数据被泄露。

雅虎数据泄露事故发生在2014年年底，不过直到“最近调查”出来时该公司才正式承认。雅虎没有提供事件的具体时间表，但FlashPoint证实最近发现2亿雅虎账户在深网出售。

“在2016年8月2日，Flashpoint注意到在TheRealDeal Marketplace由‘peace_of_mind’张贴的广告——出售2亿雅虎账户，”FlashPoint公司网络犯罪情报高级分析师Vitali Kremez表示，“peace_of_mind也是此前FlashPoint报道销售被泄露MySpace和LinkedIn账户凭证的同一个人。这个人是TheRealDeal Marketplace联合创始人，根据其过去的活动以及客户的反馈，此人有着极高的信誉度。”

根据其他新闻报道，在深网雅虎账户出售让雅虎公司开始调查潜在的海量数据泄露事故。在雅虎数据泄露事故之前，LinkedIn和Dropbox也遭遇数据泄露事故，导致用户电子邮件和信息泄露。

Blink Digital Security公司高级安全研究人员兼负责任Keatron Evans称，雅虎需要提供关于此次攻击的更多细节。“我想要知道的是雅虎什么时候发现这一攻击，如果这发生在2014年，那就是说该公司在过去两年就已经知道攻击事故，为什么他们花了这么长的时间才透露数据泄露事故的程度，”Evans称，“这种缓慢的反应可能会成为公关噩梦，并损害该公司的声誉，这也将说明如果没有正确的培训和工具我们非常难以确定攻击的根本原因，即使是发生在数月前或者数年前的攻击事故。”

在一份声明中，雅虎称这次攻击是国家资助的攻击，但没有指出具体国家。雅虎也试图安抚客户他们最有价值的数据并没有受到影响。

“账户信息可能包含名字、邮件地址、电话号码、出生日期、哈希密码以及加密和未加密的安全提示问题及答案，”雅虎写道，“正在进行的调查表明，泄露的信息并不包含五保户的密码、支付卡数据或银行账户信息;支付卡数据和银行账户信息没有存储在受影响的系统中。”

eSentire公司首席执行官J. Paul Haynes称，我们很高兴看到雅虎没有对原因下结论。

“这次数据泄露事故的时机非常奇怪，鉴于雅虎泄露的账户还在待售状态；然而，现在责怪国家资助的攻击者有点为时过早，”Haynes称，“如果没有完整的案例文件，几乎不可能对攻击者得出结论。”

更为复杂的是，Verizon正在考虑以48亿美元收购雅虎公司，该交易仍在监管部门审查中。Verizon发言人称该公司在上周二才得知雅虎的大型数据泄露事故，但表示Verizon对该数据泄露事故带来的影响只有“有限的信息以及了解”。

IDT911公司主席兼创始人Adam Levin称：“所有雅虎邮箱用户必须立即更改其雅虎用户ID及密码，还应该更改用于访问其他账户的重复的登录信息。我们生活在数据泄露事故无法避免的环境中，消费者应该使用高强度密码保护自己，在社交、金融、零售和电子邮件账户不要使用相同的信息，并定期更新;启用双因素身份验证;始终警惕网络钓鱼攻击。”

雅虎建议用户检查其在线账户是否存在任何可疑活动，更改账户信息，避免点击可疑链接以及使用雅虎账户双因素验证工具。

FIDO联盟执行主管Brett McDowell表示，这应该是对所有人的警示，单靠高强度密码可能不够，“网络罪犯知道消费者会在网站和应用使用相同的密码，这也是为什么这些泄露的密码凭证可能用于后续的诈骗的原因。我们需要阻止网络罪犯的这种行为，唯一的方法是不要完全依靠密码。这些数据泄露事故的频率和严重程度不断提高，这种趋势还会继续发展，除非我们不再依靠密码安全，而采用强大的身份验证机制。”

Seclore公司首席执行官Vishal Gupta表示，这种攻击的后果可能是灾难性的。“现在已经有5亿电话号码泄露，我们不难想象这些个人信息可能被恶意利用。企业应该采取更严格的安全措施以及以数据为中心的安全解决方案，因为攻击者总是会想出创造性的方法来将敏感信息用于恶意目的。”

作者：Michael Heller

来源：51CTO