雅虎已开始警告个人用户,他们在该服务的账户可能已经在去年年底报告的大规模数据泄露中被泄露。
这一警告是由雅虎首席信息官鲍勃·洛德(Bob Lord)通过电子邮件发送的,它告诉用户,在前几年,一个伪造的cookie可能被用来访问他们的账户。
在对雅虎用户发出警告的同时,有新闻报道称,正在谈判收购雅虎的威瑞森通讯公司(Verizon Communications)可能会收购雅虎寻求一个折扣2.5亿美元的损失。
去年12月,雅虎报道2013年8月,超过10亿用户账户的数据被盗。不到三个月前,该公司报告了一起影响5亿多用户的数据泄露事件,最初发生在2014年底。
在周三向用户发出的新警告中,雅虎表示,伪造cookie问题使黑客能够在没有密码的情况下进入用户账户。该公司将这一问题与它在9月份报告的泄密事件联系起来。
这封来自雅虎的新邮件称:“根据正在进行的调查,我们认为一个伪造的cookie可能在2015年或2016年被用来访问您的账户。”“我们已经将一些伪造cookie的活动与被认为是我们在2016年9月22日披露的数据盗窃负责的国家支持的行为者联系起来。”
雅虎尚未确定是政府支持的行为者。这封新邮件是发送给帐户被入侵的用户的,显然这是一次一般性攻击。似乎被国家支持的行动者专门针对的个人用户被发送了额外的信息通知。
雅虎建议用户检查自己的账户是否有可疑活动,对要求提供个人信息的未经请求的通信保持谨慎,避免点击链接或从可疑邮件中下载附件。该公司要求用户考虑采用雅虎账户密钥(Yahoo Account Key),这是一种无需密码的身份验证工具。
雅虎在新邮件中表示:“我们使伪造的cookie失效,并加固了我们的系统,以保护它们免受类似攻击。”“我们不断加强我们的安全措施和系统,以检测和防止未经授权的访问用户帐户。”