悲伤的雅虎肥皂剧似乎永远不会结束。一系列用户最近收到了一条相当令人不安的通知,警告他们的帐户可能遭到入侵。美国生物学教授约书亚·B·普洛特金(Joshua B. Plotkin) 的情况尤其如此。“根据正在进行的调查,我们认为 2015 年或 2016 年期间可能使用了虚假 cookie 来访问您的帐户”,我们可以在他收到的消息中读到吗?
希望这种饼干是由一个以此类美食闻名的国家制作的。#雅虎 #安全 #烘烤 pic.twitter.com/7gCeEd3Y51
— 约书亚·B·普洛特金 (@jplotkin)2017 年 2 月 15 日
这个假饼干的故事并不新鲜。去年 12 月,当雅虎透露十亿用户帐户被盗2013 年,该公司已表示黑客从其一台用于创建身份验证 cookie 的服务器窃取了专有源代码。从那时起,他们就可以创建假cookies,甚至不需要密码就可以闯入用户帐户。
然而,新的是日期。雅虎没有透露该源代码何时被盗。他只是表示这可能是被从他那里窃取的同一个政府演员偷走的5 亿个标识符2014 年底。考虑到消息中提到的年份,这显然是一致的。
换句话说,这个神秘的黑客组织能够在两年内访问任何雅虎用户帐户,而无需知道密码。激活强身份验证程序的用户不一定会得到更好的保护,因为身份验证 cookie 仅在提供登录名、密码以及可能的第二个身份验证因素后才会发生。 Cookie 的作用正是为了在会话期间维持连接,而用户无需不断进行身份验证。
受害者人数没有具体说明
有多少用户受到此攻击的影响?雅虎没有说。提问者美联社,普洛特金先生解释道:“我们实验室的六名成员中,至少有一人收到了这条消息。显然,这是轶事,但对于六人小组中的两个人来说,我想这已经很多了。”。联系方式技术艺术,雅虎解释说它能够“在调查过程中识别可能被窃取或使用虚假 cookie 的用户帐户”。该门户正在向他们所有人发送一封电子邮件。此外,他还有,“使假 Cookie 失效,使其无法再使用”。
我们还必须希望黑客不再能够创建能够窃取用户身份的 cookie。为此,雅虎很可能不仅会被迫使流通中的 cookie 失效,而且还会改变其创建 cookie 的方式。遗憾的是,雅虎没有提供有关此事的更多细节......
