据外媒（CNET）报道，美国司法部于周三指控四名黑客涉嫌发动对雅虎的网络攻击并窃取信息。其中两名黑客被指认为俄罗斯联邦安全局下属间谍，另外两位被认为是雇佣罪犯。间谍雇佣黑客发动技术攻击，以求获得有关政治人物的丑闻信息。四人被控以电信诈骗、盗取商业机密和经济间谍罪名。加拿大黑客 Karim Baratov 于本周二被捕。其他三名俄罗斯黑客或将受保护免受引渡。 “（俄罗斯）联邦安全局的参与加剧了事情的严重性。”代理助理检察长麦克考德（Mary McCord ）在星期三的新闻发布会上说。“外国支持发动的犯罪行为不能逍遥法外。” 这些起诉可视为美国方面对雅虎信息泄露事件作出的阶段性回应。雅虎公司在去年 9 月份公布了一起发生在 2014 年的黑客攻击。三个月后雅虎再次公布另一起发生在 2013 年的攻击造成 10 亿账户资料泄露。联邦调查局在历时两年的调查中发现，俄罗斯间谍 Dmitry Dokuchaev 和 Igor Sushchinof 涉嫌攻击雅虎服务器，窃取美国政府官员、俄罗斯异见人士和记者的信息。两位间谍将窃取的信息交予 Baratov 和 Aleksey Belan。 雅虎受到的攻击是美国有史以来处理过的最大规模黑客事件。四名黑客使用多种技术来收集被入侵账户的资料，手段包括“鱼叉式钓鱼攻击”，注册成千上万假电子邮件欺骗用户，并从雅虎网络上下载恶意软件。 雅虎称 2014 年的黑客攻击是国外政府支持的行动，不过并未指明是哪个国家。虽然用户的财务信息和明文密码是安全的，但用户名、邮件地址、电话号码、出生日期、加密密码以及某些情况下的安全问题与答案都被黑客窃取。 目前，美国证券交易委员会正就雅虎是否有意拖延报告两起黑客事件对雅虎公司进行调查。 稿源：cnBeta，有删减，封面源自网络

据美联社报道，雅虎近日继续向其用户发出警告， 称在 2015-2016 年之间公司账号可能存在黑客入侵事件，该公司相信黑客通过伪造的 Cookie 入侵用户账号。 此次大规模黑客攻击事件可能导致 10 亿用户账户数据被盗。 雅虎周三证实，该公司正在通知用户，他们的帐户可能已被入侵，但拒绝说出多少用户受到影响。 灾难性的黑客攻击事件也引起了外界对雅虎安全性的质疑。美国最大移动运营商 Verizon 原计划以 48 亿美元收购雅虎的核心业务(互联网业务、电子邮件服务以及雅虎品牌)，但近日有报道称 Verizon 有意将收购价降低约 2.5 亿美元。 雅虎警告称，黑客可以通过“伪造的 cookie ”在无需输入密码的状态下入侵 Yahoo 帐号。宾夕法尼亚大学生物教授 Joshua Plotkin 表示：“在我们实验室小组的六个人中，至少有一个人收到了这封电子邮件。” 稿源：cnbeta，有删改，封面来源于网络

据路透报道，雅虎周一宣布，公司向 Verizon 出售核心互联网业务的交易预计将推迟至今年第二季度完成。而雅虎同日发布的第四季度财报显示，该季营收同比增长 15%， 第四季度归属于雅虎的净利润为 1.62 亿美元，好于上年同期的净亏损 44.35 亿美元。而总搜索收入同比下降了 6%，至 8.21 亿美元。 雅虎与 Verizon 的交易原本预计将在今年第一季度完成，然而却因两起大规模数据泄露事件的曝光而推迟。此前据华尔街日报报道，知情人士称，美国证券交易委员会(Securities and Exchange Commission)已启动一项调查，并已在去年 12 月要求雅虎提供相关文件。SEC 正调查这家科技公司对网络攻击事件的披露是否遵守了美国民事证券法规。知情人士还表示，调查的重点可能是雅虎 2014 年的数据被窃事件，该事件中有至少 5 亿用户的数据。而雅虎在 2016 年 9 月份披露了这次数据被窃事件。迄今为止，雅虎也没有解释该公司为什么过了两年才公开披露 2014 年的事件，或者谁做出决定不更早公布这些信息。此外，据美联社报道，雅虎还宣称，他们已经确认，2013 年 8 月份曾出现过系统漏洞，可能有 10 亿用户账号受到影响，这是打破了该公司有史以来账户泄露的纪录。 相关事件也给该公司与 Verizon 之间的交易蒙上了一层阴影。据路透社之前的报道，受此事件影响，Verizon曾考虑降低收购价格，或者退出交易。而 Verizon 在去年7月宣布将以 48.3 亿美元的总价收购雅虎互联网核心业务。 稿源：搜狐财经，有删改，封面来源：百度搜索

知情人士透露称，美国监管机构正在调查雅虎，之前雅虎曾发生两次严重的数据泄露事故，监管机构认为雅虎应该及时向投资者汇报。 美国 SEC（证券交易委员会）已经开始调查雅虎，去年 12 月，它曾要求雅虎提供相关文档，SEC 试图搞清雅虎是否遵循民事证券法披露网络攻击一事。如果企业遭到网络攻击，一旦确定攻击会影响到投资者， SEC 要求企业及早披露。 2015 年雅虎遭到黑客攻击，5 亿用户的数据泄露，SEC的调查主要与本次攻击有关。2016 年 9 月，雅虎披露了 2014 年的攻击事故，公司认为本次攻击是国家支持的黑客发起的。既然事故是 2014 年发生的，为何当时没有披露，而是等了 2 年？没有及时向公众披露，当时做出这一决定的是谁？雅虎没有明确解释。去年 12 月中旬，雅虎声称 2013 年 8 月曾发生数据泄露事故，10 亿用户的私人信息泄露。 此前，SEC 也曾调查过几家公司，这些公司都被认为在遭遇网络攻击时对客户数据保护不力。 稿源：cnbeta，有删改，封面来源：百度搜索

据外媒 ABC 报道，澳大利亚媒体最近收到一份秘密文件显示，雅虎数据泄露事件影响了超过 3000 名政府官员，包括政治家、高级国防官员、警察和法官。 这份秘密数据由美国安全公司 InfoArmor 提供，公司发现这 3000 多个雅虎登录凭据关联邮箱为澳大利亚政府电子邮件帐户。数据内容包括电子邮件地址、密码、恢复帐户和其他个人识别数据。 安全公司 InfoArmor 此前一直在调查雅虎 10 亿账户泄露事件，去年东欧黑客组织以 30 万美元的售价将泄露数据卖给多位买家。 最可怕的是，这些账户涉及众多澳大利亚高级官员。社会服务部长 Christian Porter、维州州长 Daniel Andrews 、财政部长 Chris Bowen 、自由党议员 Andrew Hastie、自由党参议员 Cory Bernardi 等人。其他政府官员包括法官、警察、高级 AFP 官员、政治顾问、分析师等。 媒体之所以能够识别出泄露数据中的具体官员，因为这些官员使用他们的政府电子邮件账户作为备份以便找回密码。上周，记者联系了众多官员以确认这些登录凭证的真实性，但大部分官员都拒绝回答。有政府顾问表示部分高级官员的账户是由前员工申请的，不一定还在使用。澳大利亚国防部发言人回应了媒体的报道：在雅虎去年向公众宣布数据泄露事件两个月前，国防部就已经收到新南威尔士州警察局线人的消息并转告有关部门，目前已再次通知受影响的官员。 政府官员应该谨慎使用官方账号进行注册，并保护好自己的登录凭证、避免密码重用。这些泄露的账户数据可被犯罪分子利用，从事一系类恶意活动。此前，希拉里·克林顿的竞选主席约翰·波德斯塔的 Gmail 帐户就遭黑客入侵，在美国大选的关键时期泄露了一大批文件，产生了巨大的影响。 稿源：HackerNews.cc 翻译整理，封面来源：百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接，违者必究。

芬兰安全专家 JoukoPynnönen 发现雅虎邮件服务存在漏洞，允许黑客读取受害者的电子邮件消息。 研究员称这是一个基于 DOM 的持久型 XSS (跨站点脚本)漏洞，攻击者可以利用漏洞向任何用户发送被嵌入恶意代码的电子邮件。 这种攻击只需要用户查看电子邮件，当用户打开邮件后，恶意代码会就会自动执行，无需点击链接或打开附件等交互行为，让人防不胜防。 恶意代码会将受害人的收件箱信息转发到外部网站，此外，攻击者也会在邮件签名处隐藏恶意代码并借助受害人发送邮件继续传播。 问题的根源在于，雅虎未能正确过滤嵌入在 HTML 邮件中的恶意代码。他注意到并非所有的 HTML 属性都能正确验证，其中一些使用 JavaScript 存储应用程序特定的数据。攻击者利用 AJAX 能读取到用户信箱中的内容并发送至攻击者服务器。 上周雅虎修复了邮箱安全漏洞，并提供给研究员 JoukoPynnönen 10000 美元漏洞赏金。 稿源：本站翻译整理，封面来源：百度搜索

这周星期三雅虎透露了关于 5 亿用户数据泄露事故的更多详细细节，黑客可能创建了 cookies 文件使其能无需密码即可访问账号。雅虎在递交给美国证券交易委员会的报告中表示，在2014年年底雅虎就发现有黑客攻击公司网络，专家们正在寻找证据证明有受国家资助的黑客入侵雅虎的系统，此外黑客可能通过创建 cookies 文件可绕过密码保护访问某些用户帐户、窃取用户数据。本周雅虎将部分数据共享给执法部门以便检查被盗数据的真实性。这无疑为Verizon 48亿美元收购雅虎的交易又平添了几分不确定性。 稿源：本站翻译整理，封面来源：百度搜索

北京时间 11 月 3 日凌晨开始，大量用户在 Twitter 上抱怨无法从他们的 iPhone 、iPad 上登陆发送雅虎电子邮件。雅虎用户论坛管理员表示已留意到用户的投诉并通知工程师处理，然而截止至北京时间 3 日 22：30 故障问题依旧未得到解决。Downdetector.com 的热力图显示大部分投诉用户来自西欧尤其英法两国，甚至美国东西海岸沿线用户也受到影响。 雅虎官方 Twitter 并未对此次事件作出解释，目前仅官方客户服务账号@YahooCare 发推表示问题“正在处理中”。   2016-11-04 07:50 更新：据 Twitter 用户反馈 4 日凌晨开始雅虎邮箱故障已逐步恢复。 稿源：HackerNews，封面来源：百度搜索

雅虎周三宣称，它已经向美国国家情报总监詹姆斯·克拉珀（James Clapper）发信，要求该机构在向科技公司发布国家安全令以便获取用户数据时更透明，国家安全令来自美国政府的具体执法部门，通过所谓的外国情报监视法案（FISA）法院发出。此举的目的是帮助美国公民了解美国政府正在寻找哪类信息。雅虎承认：“我们的目标是为我们的用户和所有受到政府索取用户数据影响的公民建立更强大的透明度先例。”此外，雅虎再次否认帮助情报机构秘密扫描用户电子邮件的传闻。 稿源：cnbeta，封面来源：百度搜索

近日，由 48 名美国国会议员组成的一个两党团体已向两个政府机构发出要求，希望它们就一项监视计划作出解释。此前本站报道称，在美国情报机关的指令下，雅虎去年秘密开发了一个定制软件程序，用于搜索全部用户所收到的实时电子邮件，目的是查找由美国情报官员向其提供的特定信息。该团体要求美国司法部和美国国家情报总监办公室“尽可能快地”就此向国会作出简报，以“解决这些报道所带来的问题”。目前，雅虎和美国司法部均尚未就上述信函置评。 稿源：cnbeta，封面来源：百度搜索