悲傷的雅虎肥皂劇似乎永遠不會結束。一系列用戶最近收到了一條相當令人不安的通知,警告他們的帳戶可能遭到入侵。美國生物學教授約書亞·B·普洛特金(Joshua B. Plotkin) 的情況尤其如此。“根據正在進行的調查,我們認為 2015 年或 2016 年期間可能使用了虛假 cookie 來訪問您的帳戶”,我們可以在他收到的訊息中讀到嗎?
希望這種餅乾是由一個以此類美食聞名的國家製作的。#雅虎 #安全 #烘烤 pic.twitter.com/7gCeEd3Y51
— 約書亞·B·普洛特金 (@jplotkin)2017 年 2 月 15 日
這個假餅乾的故事並不新鮮。去年 12 月,當雅虎透露十億用戶帳戶被盜2013 年,該公司已表示駭客從其一台用於創建身份驗證 cookie 的伺服器竊取了專有原始碼。從那時起,他們就可以創建假cookies,甚至不需要密碼就可以闖入用戶帳戶。
然而,新的是日期。雅虎沒有透露該原始碼何時被盜。他只是表示這可能是被從他那裡竊取的同一個政府演員偷走的5 億個識別符2014 年底。
閱讀:關於令人震驚的雅虎帳戶黑客攻擊,你需要了解什麼
換句話說,這個神秘的駭客組織能夠在兩年內存取任何雅虎用戶帳戶,而無需知道密碼。啟動強身份驗證程式的使用者不一定會得到更好的保護,因為身份驗證 cookie 僅在提供登入名稱、密碼以及可能的第二個身份驗證因素後才會發生。 Cookie 的角色正是為了在會話期間維持連接,而使用者無需不斷進行身份驗證。
受害者人數沒有具體說明
有多少用戶受到此攻擊的影響?雅虎沒有說。提問者美聯社,普洛特金先生解釋:「我們實驗室的六名成員中,至少有一人收到了這則訊息。顯然,這是軼事,但對於六人小組中的兩個人來說,我想這已經很多了。。聯絡方式技術藝術,雅虎解釋說它能夠“在調查過程中識別可能被竊取或使用虛假 cookie 的使用者帳戶”。該入口網站正在向他們所有人發送一封電子郵件。此外,他還有,“使假 Cookie 失效,使其無法再使用”。
我們還必須希望駭客不再能夠建立能夠竊取使用者身分的 cookie。為此,雅虎很可能不僅會被迫使流通中的 cookie 失效,而且還會改變其創建 cookie 的方式。遺憾的是,雅虎沒有提供更多關於此事的細節...
