悲傷的雅虎肥皂劇似乎從未結束。一系列用戶最近收到了相當可怕的通知,警告可能對其帳戶的入侵。美國生物學老師Joshua B. Plotkin尤其是這種情況。“根據當前的調查,我們認為可以在2015年或2016年之間使用錯誤的餅乾來訪問您的帳戶”,我們可以閱讀他收到的消息嗎?
希望餅乾是由以這種美味佳餚而聞名的州偽造的。#yahoo #安全 #烘烤 pic.twitter.com/7gceed3y51
- Joshua B. Plotkin(@jplotkin)2017年2月15日
這個虛假餅乾的故事並不是什麼新鮮事。去年12月,雅虎透露了盜竊10億用戶帳戶2013年,該公司已經表示黑客從其服務器之一偷走了用來創建身份驗證cookie的所有者源代碼。因此,他們能夠創建虛假的cookie,允許無需密碼即可進入用戶帳戶。
但是,新的日期是什麼。雅虎沒有指定該源代碼何時被盜。他只是說他可能被同一位政府演員偷走了5億標識符在2014年底。這顯然與消息中提到的幾年一致。
換句話說,這個神秘的海盜群體已經能夠訪問任何Yahoo用戶帳戶,而不必知道密碼兩年。激活強驗證過程的用戶不一定得到更好的保護,因為身份驗證cookie僅在給出登錄,密碼以及可能是第二個身份驗證因子後才干預。 cookie正是在會話期間維護連接的精確度,而沒有被迫不斷地驗證自己。
未指定受害者人數
有多少用戶受到此攻擊的影響?雅虎不說。受到質疑美聯社,普洛特金先生解釋說:“在我們實驗室的六名成員中,至少另一個收到了這一信息。顯然,這是軼事,但使一組六人的兩個人收到了它,我想有很多”。聯繫ARS Technica,雅虎解釋了他的一員“在調查中識別用戶帳戶被盜或使用過的餅乾”。門戶網站向他們發送電子郵件。他也有“無效的假餅乾,以至於不能再使用它們”。
還希望黑客不再能夠創建能夠篡奪用戶身份的cookie。為此,雅虎不僅被迫使餅乾無效,而且還可以修改他的創建餅乾的方式。可惜雅虎沒有給出有關這種情況的更多詳細信息...
