标签: 雅虎

雅虎将为史上最大安全漏洞案支付 5000 万美元赔偿金

新浪科技讯 北京时间10月24日早间消息,雅虎已经同意支付5000万美元的赔偿金,并向美国和以色列的约2亿名用户提供两年的免费信用监控服务,此前这些用户的电子邮件地址及其他个人信息在有史以来最大的安全漏洞案中被盗。 上述赔偿需在联邦法庭批准周一提交的和解协议后才会生效,这项和解协议是就一桩已经进行了两年的诉讼案而达成的,原告方要求雅虎为2013年到2014年间发生的数字窃案负责,该公司直到2016年才披露了用户数据被盗的信息。 在这桩窃案中,约30亿个雅虎账号被黑客盗取,其中包括与俄罗斯之间存在关联的一些黑客。上述和解协议是在旧金山法庭达成的,覆盖了约2亿名用户拥有的10亿个账号。 雅虎现在已是Verizon通信公司旗下子公司。   稿源:新浪科技,封面源自网络;

雅虎邮箱被曝大规模扫描用户邮件,将数据出售给广告商

援引华尔街日报报道,雅虎依然在扫描用户邮件并将这些数据销售给广告商,而这种行为目前已经被很多科技企业放弃。在报道中雅虎和多家广告业主进行洽谈,希望为后者提供一项分析超2亿封Yahoo Mail收件箱的电子邮件,从中提取消费者数据的服务。对此Oath并未立即就此事作出官方回应。 Oath向华尔街日报承认公司确实进行了邮件扫描,但通常只是扫描来自零售商的促销邮件信息。用户也可以在雅虎邮箱中进行设置,避免系统进行扫描。Oath认为电子邮件是非常昂贵的系统,人们不期望获得没有价值交换的免费服务。 报道中还指出,即使启用了雅虎的高级邮件服务(月费3.49美元),如果用户不选择禁用系统依然会对邮件进行扫描。在Oath的算法中,那些经常购买机票的用户就会标记为出差频繁人士,那么他收到的邮件邀请大多会包含Lyft或者出行方面的广告内容。广告业主可根据Oath的服务来更高效的投放广告。   稿源:cnBeta,封面源自网络;

前雅虎因 2014 年黑客案被美 SEC 罚款 3500 万美元

美国证券交易委员会(SEC)周二宣布对 Altaba(前雅虎)处以 3500 万美元罚款以了结后者受到的一项指控,该指控的内容是前雅虎被指在两年多时间里向投资者隐瞒 2014 年大规模网络安全漏洞。这是美国证券交易委员会首次因为一家公司未披露网络安全漏洞相关信息而对其加以处罚。Altaba 同意了结此案,但并未承认或否认任何不当行为。 Altaba 发言人尚未就此置评。 美国证券交易委员会发表声明称,在 2014 年网络攻击事件发生几天后,前雅虎的信息安全团队就已得知此事。在此次攻击事件中,俄罗斯黑客窃取了前雅虎用户的电邮地址、密码和安全问题。声明指出,尽管前雅虎的信息安全团队得知了此次攻击事件,并向高级管理和法律部门进行了上报,但该公司并未对此展开合适的调查,而且直到两年后才向公众披露此事,当时该公司正处在被 Verizon 通信公司(Verizon Communication Inc)收购的过程中。 美国司法部去年宣布针对四名涉事人员在 5 亿个雅虎账号被盗一案中扮演的角色展开调查,其中包括俄罗斯联邦安全局(Federal Security Service)的两名官员。其中一名涉事人员是出生于哈萨克斯坦的加拿大公民卡里姆·巴拉托夫(Karim Baratov),他已在去年底认罪,承认其曾帮助俄罗斯情报机关破解电邮账号。预计巴拉托夫将因其在雅虎黑客案中扮演的角色而在周二受到宣判。 在对 2014 年黑客案进行调查时,前雅虎还发现了 2013 年的另一桩网络攻击事件,此次事件中该公司的所有 30 亿 个账号全部被盗,这是到目前为止规模最大的已知消费者信息失窃案。 稿源:cnBeta、新浪科技,封面源自网络;

雅虎与 Equifax 就隐私泄露事件向用户致歉

据外媒 11 月 9 日凌晨消息,受大量账户信息泄漏事件困扰的雅虎和 Equifax 公司高管玛丽莎·梅耶尔和里克·史密斯对账户泄漏事件致歉,并表示他们仍在寻求解决方案。 上个月,雅虎称其在 2013 年遭受了历史上最大规模的黑客攻击,受影响用户数达到 30 亿之多。类似的,在今年九月份,另一家从事信用监测代理的公司 Equifax 也称其遭受黑客攻击,盗取了包括证件号、信用卡号、姓名和住址在内的用户信息,涉及 1.43 亿美国用户。 美国参议院商务委员会要求这两家公司提供行之有效的方法来保护用户免受大规模信息泄漏。来自佛罗里达州的议员比尔·尼尔森(Bill Nelson)说:“现在讨论的不是是否有另一套保护机制,而是什么时候有 ”。Equifax 的前任和现任 CEO 都出席了本次庭审。雅虎的前 CEO 梅耶尔和现任 Verizon 首席隐私官出席了本次庭审,顺便提一下,今年六月份 Verizon 收购了雅虎。 梅耶尔首先表达了歉意,指出那次袭击是由俄罗斯黑客发起的,而且攻击手段很复杂。Equifax 的 CEO 也对公司没能保护好用户的隐私信息表示抱歉。在证词中,两家公司都说了自遭受攻击以来公司是如何如何做出改变。雅虎的措施包括要求用户改密码,提升加密机制等。雅虎说他们公司的安全团队员工数翻了两倍。而Equifax则称他们用于安全的预算开支是以前的四倍。 梅耶尔称雅虎至今还没搞明白黑客是怎样侵入公司系统的,所以也不知道该如何修补漏洞。史密斯称 Equifax 过去并没有对用户敏感信息进行加密,因为他认为公司的防火墙已经够强大了。尽管 Equifax 在遭受黑客攻击后,向其受影响用户提供了信用检测工具,但实际上很少有用户使用,在 1.45 亿受影响用户中只有不到五分之一用了这个工具。 随着 Verizon 接管雅虎,Verizon 首席隐私官扎卡赖亚承诺了在未来将提供更有效的安全措施,尽管议员们对此深表怀疑。一位来自康涅狄格州的民主党议员号召加强立法来保护用户隐私安全,对那些因黑客攻击而使用户数据泄露的公司进行惩罚。 稿源:新浪科技,封面源自网络;

继数据泄露后,前雅虎和 Equifax CEO 将在参议院听证会上作证

据外媒报道,美国参议院商务委员会于本周三表示,前雅虎首席执行官玛丽莎·梅耶(Marissa Mayer)和 Equifax 的现任和前任首席执行官将于下周在听证会上作证,参议院委员会将对这两家公司造成大规模数据泄露事件进行调查。 美国参议院商务委员会表示,Marissa Mayer、Equifax 临时首席执行官 Paulino do Rego Barros Jr. 和前 Equifax 首席执行官 Richard Smith 将于 11 月 8 日作证。Verizon 副总顾问兼首席隐私官 Karen Zacharia 也将出席听证会,Verizon 于今年 6 月收购雅虎。 南达科他州共和党参议员 John Thune 在一份声明中表示:“大量的数据泄露已经触及绝大多数美国消费者。 发生这种泄露事件时,需要采取紧急行动保护敏感的个人信息。” Mayer 预计会讨论雅虎 2013 年黑客入侵事件,这使雅虎近 30 亿个账户信息遭泄露 – 这是历史上最规模的泄露事件。其被窃取的信息不包括明文密码,银行卡数据或银行帐户信息。雅虎仍然在与执法机构合作,以确定谁是幕后黑手。预计参议员将向 Barros 和 Smith 询问有关 Equifax 1.43 亿人财务数据遭窃取的事件。被窃取的数据包括姓名,社会安全号码,出生日期和客户地址。 Equifax 自 9 月 7 日宣布遭遇事件泄露事件以来一直受到严格审查。此前外媒曾报道,Equifax 高管人员(包括该公司的首席财务官)在该公司宣布这个消息前, 抛售了价值约 180 万美元的公司股票。Verizon 和 Equifax 都没有立即回应置评请求。 稿源:cnBeta,封面源自网络;

雅虎 30 亿帐号或受早先黑客攻击影响,致使数据泄露事件升级

雅虎母公司美国电信巨头威瑞森(Verizon)3 日表示,所有 30 亿雅虎用户的个人信息被泄露,这一数字是去年 12 月公布的 3 倍。据悉,2016 年 12 月 14 日,还未被威瑞森完成收购的雅虎发布声明称,曾在 2013 年 8 月被黑客袭击,导致超过 10 亿用户信息泄露。 受此全球最大信息泄露事件的影响,雅虎用户失窃资料包括用户姓名、电子邮件地址、电话号码、出生日期和加密密码等。支付卡与银行账户资料没有储存在被攻击系统内,未遭殃及。威瑞森表示,自 2013 年 8 月拥有雅虎账户的用户其个人信息都有可能被泄露。雅虎已在去年提醒所有用户更改密码、让未加密的安全问题和答案作废等保护措施。 2017 年 6 月 13 日,威瑞森以 44.8 亿美元完成对雅虎核心资产的收购。雅虎财经、搜索引擎、网络广告工具和网络服务等核心业务与威瑞森拥有的美国在线(AOL)旗下约 50 家媒体和科技品牌组成一个新的数字媒体公司 Oath,但雅虎邮箱等原有品牌的名字得以继续保留。 Oath 新闻发言人查尔斯-斯图尔特没有说明如何得到这一数据,但表示公司的安全团队发现问题后着手调查,并在一周内完成调查。威瑞森首席信息安全官麦克马洪表示,威瑞森将继续与执法机构合作,致力于打造最高标准的问责制和透明度,并在不断变化的网络威胁中为用户提供安全保护。 稿源:新浪科技、中国新闻网,封面源自网络;

美国法官判决:个人信息遭泄露的用户现可起诉雅虎

据路透社报道,美国一位法官称,雅虎必须面对一起全球范围内的诉讼,该起诉讼代表其 10 亿以上的用户,他们称他们的个人信息在三起大规模的数据泄露事件中遭泄露。 美国加州圣何塞地区法院法官露西·科赫(Lucy Koh)于本周三晚做出这项裁决,对 Verizon 通信公司限制雅虎潜在负债规模的努力是个挫折。 今年 6 月份,该公司斥资 47.6 亿美元收购雅虎互联网业务。这些数据泄露事件发生于 2013 年至 2016 年之间,但雅虎却迟迟没有向外披露,一直到三年后才披露了第一起事件。有关雅虎遭到网络攻击的范围被曝光后,Verizon通 信降低了对该公司的收购价格。 在一份长达 93 页的判决书中,科赫拒绝了雅虎有关数据泄露受害者没有资格起诉的辩解,并表示他们还可以提起有关违反合同和不公平竞争的指控。科赫在判决书中写道:“ 所有原告均声称存在未来身份被盗窃的风险,除此之外,他们个人身份信息的价值遭受了损失 ”。目前,一些原告还声称他们花了钱,以阻止未来身份被盗窃,或者诈骗者滥用他们的数据。与此同时,如果雅虎没有推迟披露这些泄露事件,其他一些人可能早就修改密码,或取消账户,从而减少损失。尽管许多指控被驳回,但科赫表示,原告可以修改他们的起诉。 负责监督此案的一个执行委员会的主席、原告律师 John Yanchunis 在接受采访时表示:“我们认为这对消费者来说是一个重大的胜利,同时我们将解决法庭指出的我们起诉所存在的不足之处。这是世界历史上规模最大的数据泄露事件 ”。Verizon 通信发言人鲍勃·瓦雷托尼表示,该公司拒绝就未决诉讼发表评论。现在,雅虎是 Verizon 通信旗下名为 “ Oath ” 的新媒体部门的一部分。 稿源:cnBeta、网易科技,封面源自网络;

雅虎为 Flickr 帐户劫持漏洞猎手授予 7,000 美元赏金

雅虎为 Flickr 帐户劫持漏洞猎手 Michael Reizelman 授予 7,000 美元赏金。 Reizelman 是一位颇受欢迎的漏洞猎手,善于挖掘 Badoo、Dropbox、GitHub、Google、Imgur、Slack、Twitter 与 Uber 等多种网络服务漏洞。他在不久前发现,如果将存在于雅虎图像与视频托管服务的三个漏洞配合使用可成功接管 Flickr 帐户。 Reizelman 发现用户每次登录 Flickr.com 帐户都会被重定向至 login.yahoo.com 域进行身份验证。如果用户已登录,就会在后台被重定向至 login.yahoo.com。此外,login.yahoo.com 请求用于获取用户访问令牌。 据悉,Reizelman 最初在 flickr.com 搜索开放式重定向漏洞并加以利用,但以失败告终。随后,他设计出另一种漏洞利用方法,即通过使用 <img> 标签将受攻击者控制的服务器存储图像文件嵌入 Flickr.com 页面。调查表明,黑客在攻击过程中必须诱导用户点击特制链接以获取访问令牌并接管受害者 Flickr 帐户。 Reizelman 于 4 月 2 日发现与报告该漏洞,并因此获取 7,000 美元赏金。据悉,雅虎公司通过 HackerOne 执行漏洞赏金计划。 原作者:Pierluigi Paganini, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

暗网逾 2000 万 Gmail 账户、500 万 Yahoo 帐户可供销售

据悉,一个名为“ doubleflag ”的供应商在过去六年内至少从 11 个虚拟货币论坛盗取用户数据信息并在暗网出售。 经 HackRead 报道,BitCoinTalk、MtGox、Bitcoinsec 和 BTC-E 论坛数据信息均被窃取,主要包括用户名、电子邮件地址、电话号码、出生日期、位置和密码等。Doubleflag 声称整套数据大约价值 415 美元(合 0.3817 比特币)。 黑市网站销售记录显示,doubleflag 已成交超过 100 份订单,98% 获得“好评”反馈。目前,此类数据仍在大规模出售,主要来源于 Whois、Paddy Power、Experian、Brazzers、GTAGaming、Dota2、CDProjektRed、 XHamster 和 Lastfm 等网站或论坛的账户信息。 另一方面,几周前代号为“ SunTzu583 ”的供应商就销售了超过 100 万个 Gmail / Yahoo 帐户。随后 SunTzu583 再度提供了 64 万个 PlayStation 索尼游戏平台账号的报价 35.71 美元(合 0.0292 比特币)。最近,SunTzu583 还提供了另一份单独列表,其中包括售价 450.48 美元( 0.4673 比特币 )的额外 21,800,969 个 Gmail 帐户,以及售价 250 美元(合 0.2532 比特币)的 5,741,802 个雅虎帐户。 研究人员表示,多数被窃取帐户并非处于活跃状态,或由 MySpace、Adobe、LinkedIn 等数据泄露导致。暗网供应商提醒用户,并非所有登录凭据都可以正常使用。 稿源:ibtimes、securityaffairs, 译者:青楚,校对:Liuf 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

雅虎信息泄露元凶揭晓,美司法部起诉四名俄罗斯黑客

据外媒(CNET)报道,美国司法部于周三指控四名黑客涉嫌发动对雅虎的网络攻击并窃取信息。其中两名黑客被指认为俄罗斯联邦安全局下属间谍,另外两位被认为是雇佣罪犯。间谍雇佣黑客发动技术攻击,以求获得有关政治人物的丑闻信息。四人被控以电信诈骗、盗取商业机密和经济间谍罪名。加拿大黑客 Karim Baratov 于本周二被捕。其他三名俄罗斯黑客或将受保护免受引渡。 “(俄罗斯)联邦安全局的参与加剧了事情的严重性。”代理助理检察长麦克考德(Mary McCord )在星期三的新闻发布会上说。“外国支持发动的犯罪行为不能逍遥法外。” 这些起诉可视为美国方面对雅虎信息泄露事件作出的阶段性回应。雅虎公司在去年 9 月份公布了一起发生在 2014 年的黑客攻击。三个月后雅虎再次公布另一起发生在 2013 年的攻击造成 10 亿账户资料泄露。联邦调查局在历时两年的调查中发现,俄罗斯间谍 Dmitry Dokuchaev 和 Igor Sushchinof 涉嫌攻击雅虎服务器,窃取美国政府官员、俄罗斯异见人士和记者的信息。两位间谍将窃取的信息交予 Baratov 和 Aleksey Belan。 雅虎受到的攻击是美国有史以来处理过的最大规模黑客事件。四名黑客使用多种技术来收集被入侵账户的资料,手段包括“鱼叉式钓鱼攻击”,注册成千上万假电子邮件欺骗用户,并从雅虎网络上下载恶意软件。 雅虎称 2014 年的黑客攻击是国外政府支持的行动,不过并未指明是哪个国家。虽然用户的财务信息和明文密码是安全的,但用户名、邮件地址、电话号码、出生日期、加密密码以及某些情况下的安全问题与答案都被黑客窃取。 目前,美国证券交易委员会正就雅虎是否有意拖延报告两起黑客事件对雅虎公司进行调查。 稿源:cnBeta,有删减,封面源自网络