雅虎披露3200万账户被黑客利用“曲奇伪造攻击”

雅虎在过去几个月披露了两起大规模数据泄露事件，除此之外，雅虎的账户也受到了影响。

这家前科技巨头在周三提交的一份监管文件中表示，cookie caper很可能与“同一个国家赞助的参与者”有关，后者被认为是2014年另一起导致5亿用户账户被盗的数据泄露事件的幕后黑手。

雅虎在提交给美国证券交易委员会（SEC）的年度报告中表示：“根据调查，我们认为有未经授权的第三方访问了该公司的专有代码，以了解如何伪造某些cookie”。

“外部法医专家已经确定了大约3200万个用户帐户，他们认为这些帐户在2015年和2016年使用或获取了伪造的cookie。我们认为，其中一些活动与被认为对2014年安全事件负责的同一个国家赞助的参与者有关”。

"伪造饼干“是允许访问帐户而无需重新输入密码的数字密钥。

黑客没有窃取密码，而是通过伪造名为cookie的小网络浏览器令牌，欺骗网络浏览器告诉雅虎受害者已经登录。

雅虎在去年12月披露了cookie caper，但这一消息在很大程度上被忽视，因为雅虎的声明提供了2013年8月发生的另一次数据泄露的信息，涉及超过10亿个雅虎账户。

该公司在一份声明中表示，黑客可能盗取了姓名、电子邮件地址、散列密码、电话号码、出生日期，在某些情况下，还盗取了加密或未加密的安全问题和答案。

就在上个月，雅虎开始警告其客户，一些国家赞助的参与者使用复杂的cookie伪造攻击访问了他们的雅虎账户。

然而，好消息是，这些伪造的cookie已经被雅虎“作废”，因此无法用于访问用户帐户。

雅虎首席执行官玛丽莎·梅耶失去奖金

与此同时，当雅虎披露cookie caper的范围时，雅虎首席执行官玛丽莎·梅耶（Marissa Mayer）表示，她将放弃200万美元的年度奖金，以及2017年的任何股权奖励（通常约1200万美元的股票），以回应她任职期间发生的安全事件。

“当我在2016年9月得知我们的大量用户数据库文件被盗时，我与团队一起向用户、监管机构和政府机构披露了这起事件，”梅耶在周一发布在Tumblr上的一份说明中写道。

“然而,我公司的CEO,因为这个事件发生在我的任期内,我已经同意放弃我的年度奖金和年度股票今年格兰特,表达了我的愿望,我的奖金分配给我们公司的辛勤工作的员工,在2016年对雅虎的成功贡献了这么多”。

除此之外，雅虎的总法律顾问兼秘书罗纳德·贝尔（Ronald Bell）也于周三辞职，此前该公司披露“高级管理人员和相关法律人员知道，一名国家赞助的演员利用该公司的账户管理工具访问了某些用户账户”。

雅虎安全事件的不断曝光严重打击了雅虎的信誉。就在上个月，雅虎（Yahoo）和Verizon Communications Inc.在两起数据泄露事件发生后，同意将即将进行的收购交易的价格降低3.5亿美元。

该交易之前最终敲定为48亿美元，现在的现金价值约为44.8亿美元，预计将在第二季度完成。