在有报道称雅虎将确认影响数亿账户的数据泄露之后,一些用户周四在Twitter和其他地方报告说,他们在试图登录时被提示更改电子邮件密码。
雅虎在8月初对可能的泄露事件展开调查,此前有人在一个地下市场出售了超过2亿个雅虎账户的数据,包括用户名、容易破解的密码散列、出生日期和备份电子邮件地址。
据新闻网站Recode报道,该公司已经确定这次入侵是真实的,而且情况比最初认为的还要糟糕报道周四,他援引不愿透露姓名的熟悉调查的消息人士的话说。
虽然雅虎尚未发表声明,也没有立即回应置评请求,但该公司已经做出了回应提示一些用户重新设置密码由于在过去24小时内对其账户进行了“可疑活动”。
重置密码的提示可能与报告的数据泄露没有直接联系。但是,在数据被出售一个半月后,现在确认泄露可能会引发疑问,即为什么该公司等了这么久才迫使用户更改密码。
运营该数据泄露通知网站的安全研究员特洛伊•亨特(Troy Hunt)表示:“如果当时真的可以使用,而雅虎现在只是在确认,我真的很感兴趣,为什么拖延了这么久。我被打败了吗?。
在一个地下网站上宣传雅虎账户数据的用户使用了一个名为peace_of_mind的在线账号,他是一个众所周知的盗取信息的卖家。此前,他曾出售MySpace、领英(LinkedIn)、Tumblr和其他网站的数百万份账户记录。尽管这些入侵实际上发生在数年前,但在很大程度上已经得到了证实。
亨特在电子邮件中表示:“我们看到LinkedIn、MySpace和tumblr(数据转储)都有很多年的历史,但现在才出现待售,所以雅虎可能与此一致。”
这位研究人员说,考虑到“和平”的过往记录,如果这些数据被证明是真实的,他不会对上个月出售这些数据感到惊讶,尽管一些人质疑“和平”当时是否真的拥有这些信息。
奇怪的是,到目前为止,还没有人设法获得数据集的副本并确认其真实性,至少没有公开,特别是因为众所周知和平会随着时间的推移而降低价格。亨特相信,如果这个数据转储遵循与最近其他数据相同的模式,它将很快出现在公共领域,他将能够添加它我被打败了吗。
在本周确认数据泄露的同时,雅虎将其核心互联网业务以48亿美元的价格出售给Verizon的交易也即将完成。该交易尚未得到监管机构的批准。