据路透社报道，由于遭遇史上最大数据泄密事件，雅虎接受了一项修改后的1.175亿美元和解协议，与本案的数百万受害者达成和解。这项周二披露的集体诉讼和解是为了解决美国加州圣何塞地区法院法官高兰惠（Lucy Koh）之前的批评。她在1月28日驳回了之前的和解协议，此次和解协议仍然需要获得她的批准。 高兰惠表示，最初的和解协议“不够公平、充分和合理”，因为没有列出整体金额，也没有说明每个受害者具体有望获得多少赔偿。她还表示，本案的法律费用似乎过高。 这起案件在2013至2016年间导致大约30亿帐号受到影响，而雅虎则被控在披露此事的过程中反应过慢。雅虎目前已经成为Verizon电信旗下的一家公司。 这份新的和解协议包含至少5500万美元支付给受害者的实付费用和其它成本，2400万美元的两年信用监控费用，和高达3000万美元的法律费用，另有最多850万美元的其他费用。 本案涵盖1.94亿美国人和以色列人，大约涉及8.96亿帐号。 本案原告律师在法庭文件中称，1.175亿美元是数据泄密案有史以来获得的最大赔偿。他尚未发表进一步评论。 Verizon也同意在2019至2022年间投入3.06亿美元信息安全费用，达到雅虎2013至2016年投入的5倍。该公司还承诺把雅虎在这一领域的人员数量增加到原先的4倍。 Verizon在声明中说：“这份和解协议证明了我们对安全的重大承诺。” 雅虎在2016年7月同意将其互联网业务作价48.3亿美元出售给Verizon。不久后才披露此次数据泄密事件，导致收购价格降至44.8亿美元。Verizon去年12月减记了雅虎的大量商誉价值。   （稿源：，稿件以及封面源自网络。）

讯 北京时间10月24日早间消息，雅虎已经同意支付5000万美元的赔偿金，并向美国和以色列的约2亿名用户提供两年的免费信用监控服务，此前这些用户的电子邮件地址及其他个人信息在有史以来最大的安全漏洞案中被盗。 上述赔偿需在联邦法庭批准周一提交的和解协议后才会生效，这项和解协议是就一桩已经进行了两年的诉讼案而达成的，原告方要求雅虎为2013年到2014年间发生的数字窃案负责，该公司直到2016年才披露了用户数据被盗的信息。 在这桩窃案中，约30亿个雅虎账号被黑客盗取，其中包括与俄罗斯之间存在关联的一些黑客。上述和解协议是在旧金山法庭达成的，覆盖了约2亿名用户拥有的10亿个账号。 雅虎现在已是Verizon通信公司旗下子公司。   稿源：，稿件以及封面源自网络；

援引华尔街日报报道，雅虎依然在扫描用户邮件并将这些数据销售给广告商，而这种行为目前已经被很多科技企业放弃。在报道中雅虎和多家广告业主进行洽谈，希望为后者提供一项分析超2亿封Yahoo Mail收件箱的电子邮件，从中提取消费者数据的服务。对此Oath并未立即就此事作出官方回应。 Oath向华尔街日报承认公司确实进行了邮件扫描，但通常只是扫描来自零售商的促销邮件信息。用户也可以在雅虎邮箱中进行设置，避免系统进行扫描。Oath认为电子邮件是非常昂贵的系统，人们不期望获得没有价值交换的免费服务。 报道中还指出，即使启用了雅虎的高级邮件服务（月费3.49美元），如果用户不选择禁用系统依然会对邮件进行扫描。在Oath的算法中，那些经常购买机票的用户就会标记为出差频繁人士，那么他收到的邮件邀请大多会包含Lyft或者出行方面的广告内容。广告业主可根据Oath的服务来更高效的投放广告。   稿源：cnBeta，封面源自网络；

美国证券交易委员会（SEC）周二宣布对 Altaba（前雅虎）处以 3500 万美元罚款以了结后者受到的一项指控，该指控的内容是前雅虎被指在两年多时间里向投资者隐瞒 2014 年大规模网络安全漏洞。这是美国证券交易委员会首次因为一家公司未披露网络安全漏洞相关信息而对其加以处罚。Altaba 同意了结此案，但并未承认或否认任何不当行为。 Altaba 发言人尚未就此置评。 美国证券交易委员会发表声明称，在 2014 年网络攻击事件发生几天后，前雅虎的信息安全团队就已得知此事。在此次攻击事件中，俄罗斯黑客窃取了前雅虎用户的电邮地址、密码和安全问题。声明指出，尽管前雅虎的信息安全团队得知了此次攻击事件，并向高级管理和法律部门进行了上报，但该公司并未对此展开合适的调查，而且直到两年后才向公众披露此事，当时该公司正处在被 Verizon 通信公司（Verizon Communication Inc）收购的过程中。 美国司法部去年宣布针对四名涉事人员在 5 亿个雅虎账号被盗一案中扮演的角色展开调查，其中包括俄罗斯联邦安全局（Federal Security Service）的两名官员。其中一名涉事人员是出生于哈萨克斯坦的加拿大公民卡里姆·巴拉托夫（Karim Baratov），他已在去年底认罪，承认其曾帮助俄罗斯情报机关破解电邮账号。预计巴拉托夫将因其在雅虎黑客案中扮演的角色而在周二受到宣判。 在对 2014 年黑客案进行调查时，前雅虎还发现了 2013 年的另一桩网络攻击事件，此次事件中该公司的所有 30 亿 个账号全部被盗，这是到目前为止规模最大的已知消费者信息失窃案。 稿源：cnBeta、，稿件以及封面源自网络；

据外媒 11 月 9 日凌晨消息，受大量账户信息泄漏事件困扰的雅虎和 Equifax 公司高管玛丽莎·梅耶尔和里克·史密斯对账户泄漏事件致歉，并表示他们仍在寻求解决方案。 上个月，雅虎称其在 2013 年遭受了历史上最大规模的黑客攻击，受影响用户数达到 30 亿之多。类似的，在今年九月份，另一家从事信用监测代理的公司 Equifax 也称其遭受黑客攻击，盗取了包括证件号、信用卡号、姓名和住址在内的用户信息，涉及 1.43 亿美国用户。 美国参议院商务委员会要求这两家公司提供行之有效的方法来保护用户免受大规模信息泄漏。来自佛罗里达州的议员比尔·尼尔森（Bill Nelson）说：“现在讨论的不是是否有另一套保护机制，而是什么时候有 ”。Equifax 的前任和现任 CEO 都出席了本次庭审。雅虎的前 CEO 梅耶尔和现任 Verizon 首席隐私官出席了本次庭审，顺便提一下，今年六月份 Verizon 收购了雅虎。 梅耶尔首先表达了歉意，指出那次袭击是由俄罗斯黑客发起的，而且攻击手段很复杂。Equifax 的 CEO 也对公司没能保护好用户的隐私信息表示抱歉。在证词中，两家公司都说了自遭受攻击以来公司是如何如何做出改变。雅虎的措施包括要求用户改密码，提升加密机制等。雅虎说他们公司的安全团队员工数翻了两倍。而Equifax则称他们用于安全的预算开支是以前的四倍。 梅耶尔称雅虎至今还没搞明白黑客是怎样侵入公司系统的，所以也不知道该如何修补漏洞。史密斯称 Equifax 过去并没有对用户敏感信息进行加密，因为他认为公司的防火墙已经够强大了。尽管 Equifax 在遭受黑客攻击后，向其受影响用户提供了信用检测工具，但实际上很少有用户使用，在 1.45 亿受影响用户中只有不到五分之一用了这个工具。 随着 Verizon 接管雅虎，Verizon 首席隐私官扎卡赖亚承诺了在未来将提供更有效的安全措施，尽管议员们对此深表怀疑。一位来自康涅狄格州的民主党议员号召加强立法来保护用户隐私安全，对那些因黑客攻击而使用户数据泄露的公司进行惩罚。 稿源：，稿件以及封面源自网络；

据外媒报道，美国参议院商务委员会于本周三表示，前雅虎首席执行官玛丽莎·梅耶（Marissa Mayer）和 Equifax 的现任和前任首席执行官将于下周在听证会上作证，参议院委员会将对这两家公司造成大规模数据泄露事件进行调查。 美国参议院商务委员会表示，Marissa Mayer、Equifax 临时首席执行官 Paulino do Rego Barros Jr. 和前 Equifax 首席执行官 Richard Smith 将于 11 月 8 日作证。Verizon 副总顾问兼首席隐私官 Karen Zacharia 也将出席听证会，Verizon 于今年 6 月收购雅虎。 南达科他州共和党参议员 John Thune 在一份声明中表示：“大量的数据泄露已经触及绝大多数美国消费者。 发生这种泄露事件时，需要采取紧急行动保护敏感的个人信息。” Mayer 预计会讨论雅虎 2013 年黑客入侵事件，这使雅虎近 30 亿个账户信息遭泄露 – 这是历史上最规模的泄露事件。其被窃取的信息不包括明文密码，银行卡数据或银行帐户信息。雅虎仍然在与执法机构合作，以确定谁是幕后黑手。预计参议员将向 Barros 和 Smith 询问有关 Equifax 1.43 亿人财务数据遭窃取的事件。被窃取的数据包括姓名，社会安全号码，出生日期和客户地址。 Equifax 自 9 月 7 日宣布遭遇事件泄露事件以来一直受到严格审查。此前外媒曾报道，Equifax 高管人员（包括该公司的首席财务官）在该公司宣布这个消息前， 抛售了价值约 180 万美元的公司股票。Verizon 和 Equifax 都没有立即回应置评请求。 稿源：cnBeta，封面源自网络；

雅虎母公司美国电信巨头威瑞森（Verizon）3 日表示，所有 30 亿雅虎用户的个人信息被泄露，这一数字是去年 12 月公布的 3 倍。据悉，2016 年 12 月 14 日，还未被威瑞森完成收购的雅虎发布声明称，曾在 2013 年 8 月被黑客袭击，导致超过 10 亿用户信息泄露。 受此全球最大信息泄露事件的影响，雅虎用户失窃资料包括用户姓名、电子邮件地址、电话号码、出生日期和加密密码等。支付卡与银行账户资料没有储存在被攻击系统内，未遭殃及。威瑞森表示，自 2013 年 8 月拥有雅虎账户的用户其个人信息都有可能被泄露。雅虎已在去年提醒所有用户更改密码、让未加密的安全问题和答案作废等保护措施。 2017 年 6 月 13 日，威瑞森以 44.8 亿美元完成对雅虎核心资产的收购。雅虎财经、搜索引擎、网络广告工具和网络服务等核心业务与威瑞森拥有的美国在线（AOL）旗下约 50 家媒体和科技品牌组成一个新的数字媒体公司 Oath，但雅虎邮箱等原有品牌的名字得以继续保留。 Oath 新闻发言人查尔斯-斯图尔特没有说明如何得到这一数据，但表示公司的安全团队发现问题后着手调查，并在一周内完成调查。威瑞森首席信息安全官麦克马洪表示，威瑞森将继续与执法机构合作，致力于打造最高标准的问责制和透明度，并在不断变化的网络威胁中为用户提供安全保护。 稿源：、中国新闻网，稿件以及封面源自网络；

据路透社报道，美国一位法官称，雅虎必须面对一起全球范围内的诉讼，该起诉讼代表其 10 亿以上的用户，他们称他们的个人信息在三起大规模的数据泄露事件中遭泄露。 美国加州圣何塞地区法院法官露西·科赫（Lucy Koh）于本周三晚做出这项裁决，对 Verizon 通信公司限制雅虎潜在负债规模的努力是个挫折。 今年 6 月份，该公司斥资 47.6 亿美元收购雅虎互联网业务。这些数据泄露事件发生于 2013 年至 2016 年之间，但雅虎却迟迟没有向外披露，一直到三年后才披露了第一起事件。有关雅虎遭到网络攻击的范围被曝光后，Verizon通 信降低了对该公司的收购价格。 在一份长达 93 页的判决书中，科赫拒绝了雅虎有关数据泄露受害者没有资格起诉的辩解，并表示他们还可以提起有关违反合同和不公平竞争的指控。科赫在判决书中写道：“ 所有原告均声称存在未来身份被盗窃的风险，除此之外，他们个人身份信息的价值遭受了损失 ”。目前，一些原告还声称他们花了钱，以阻止未来身份被盗窃，或者诈骗者滥用他们的数据。与此同时，如果雅虎没有推迟披露这些泄露事件，其他一些人可能早就修改密码，或取消账户，从而减少损失。尽管许多指控被驳回，但科赫表示，原告可以修改他们的起诉。 负责监督此案的一个执行委员会的主席、原告律师 John Yanchunis 在接受采访时表示：“我们认为这对消费者来说是一个重大的胜利，同时我们将解决法庭指出的我们起诉所存在的不足之处。这是世界历史上规模最大的数据泄露事件 ”。Verizon 通信发言人鲍勃·瓦雷托尼表示，该公司拒绝就未决诉讼发表评论。现在，雅虎是 Verizon 通信旗下名为 “ Oath ” 的新媒体部门的一部分。 稿源：cnBeta、网易科技，封面源自网络；

雅虎为 Flickr 帐户劫持漏洞猎手 Michael Reizelman 授予 7,000 美元赏金。 Reizelman 是一位颇受欢迎的漏洞猎手，善于挖掘 Badoo、Dropbox、GitHub、Google、Imgur、Slack、Twitter 与 Uber 等多种网络服务漏洞。他在不久前发现，如果将存在于雅虎图像与视频托管服务的三个漏洞配合使用可成功接管 Flickr 帐户。 Reizelman 发现用户每次登录 Flickr.com 帐户都会被重定向至 login.yahoo.com 域进行身份验证。如果用户已登录，就会在后台被重定向至 login.yahoo.com。此外，login.yahoo.com 请求用于获取用户访问令牌。 据悉，Reizelman 最初在 flickr.com 搜索开放式重定向漏洞并加以利用，但以失败告终。随后，他设计出另一种漏洞利用方法，即通过使用 <img> 标签将受攻击者控制的服务器存储图像文件嵌入 Flickr.com 页面。调查表明，黑客在攻击过程中必须诱导用户点击特制链接以获取访问令牌并接管受害者 Flickr 帐户。 Reizelman 于 4 月 2 日发现与报告该漏洞，并因此获取 7,000 美元赏金。据悉，雅虎公司通过 HackerOne 执行漏洞赏金计划。 原作者：Pierluigi Paganini， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据悉，一个名为“ doubleflag ”的供应商在过去六年内至少从 11 个虚拟货币论坛盗取用户数据信息并在暗网出售。 经 HackRead 报道，BitCoinTalk、MtGox、Bitcoinsec 和 BTC-E 论坛数据信息均被窃取，主要包括用户名、电子邮件地址、电话号码、出生日期、位置和密码等。Doubleflag 声称整套数据大约价值 415 美元（合 0.3817 比特币）。 黑市网站销售记录显示，doubleflag 已成交超过 100 份订单，98％ 获得“好评”反馈。目前，此类数据仍在大规模出售，主要来源于 Whois、Paddy Power、Experian、Brazzers、GTAGaming、Dota2、CDProjektRed、 XHamster 和 Lastfm 等网站或论坛的账户信息。 另一方面，几周前代号为“ SunTzu583 ”的供应商就销售了超过 100 万个 Gmail / Yahoo 帐户。随后 SunTzu583 再度提供了 64 万个 PlayStation 索尼游戏平台账号的报价 35.71 美元（合 0.0292 比特币）。最近，SunTzu583 还提供了另一份单独列表，其中包括售价 450.48 美元（ 0.4673 比特币 ）的额外 21,800,969 个 Gmail 帐户，以及售价 250 美元（合 0.2532 比特币）的 5,741,802 个雅虎帐户。 研究人员表示，多数被窃取帐户并非处于活跃状态，或由 MySpace、Adobe、LinkedIn 等数据泄露导致。暗网供应商提醒用户，并非所有登录凭据都可以正常使用。 稿源：ibtimes、securityaffairs， 译者：青楚，校对：Liuf 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接