日前雅虎正式承認其遭遇史上最嚴重數據泄露事故，其中至少5億用戶賬戶數據被泄露。

雅虎數據泄露事故發生在2014年年底，不過直到“最近調查”出來時該公司才正式承認。雅虎沒有提供事件的具體時間表，但FlashPoint證實最近發現2億雅虎賬戶在深網出售。

[[172777]]

“在2016年8月2日，Flashpoint注意到在TheRealDeal Marketplace由‘peace_of_mind’張貼的廣告——出售2億雅虎賬戶，”FlashPoint公司網絡犯罪情報高級分析師Vitali Kremez表示，“peace_of_mind也是此前FlashPoint報道銷售被泄露MySpace和LinkedIn賬戶憑證的同一個人。這個人是TheRealDeal Marketplace聯合創始人，根據其過去的活動以及客戶的反饋，此人有著極高的信譽度。”

根據其他新聞報道，在深網雅虎賬戶出售讓雅虎公司開始調查潛在的海量數據泄露事故。在雅虎數據泄露事故之前，LinkedIn和Dropbox也遭遇數據泄露事故，導致用戶電子郵件和信息泄露。

Blink Digital Security公司高級安全研究人員兼負責任Keatron Evans稱，雅虎需要提供關于此次攻擊的更多細節。“我想要知道的是雅虎什么時候發現這一攻擊，如果這發生在2014年，那就是說該公司在過去兩年就已經知道攻擊事故，為什么他們花了這么長的時間才透露數據泄露事故的程度，”Evans稱，“這種緩慢的反應可能會成為公關噩夢，并損害該公司的聲譽，這也將說明如果沒有正確的培訓和工具我們非常難以確定攻擊的根本原因，即使是發生在數月前或者數年前的攻擊事故。”

在一份聲明中，雅虎稱這次攻擊是國家資助的攻擊，但沒有指出具體國家。雅虎也試圖安撫客戶他們最有價值的數據并沒有受到影響。

“賬戶信息可能包含名字、郵件地址、電話號碼、出生日期、哈希密碼以及加密和未加密的安全提示問題及答案，”雅虎寫道，“正在進行的調查表明，泄露的信息并不包含五保戶的密碼、支付卡數據或銀行賬戶信息;支付卡數據和銀行賬戶信息沒有存儲在受影響的系統中。”

eSentire公司首席執行官J. Paul Haynes稱，我們很高興看到雅虎沒有對原因下結論。

“這次數據泄露事故的時機非常奇怪，鑒于雅虎泄露的賬戶還在待售狀態；然而，現在責怪國家資助的攻擊者有點為時過早，”Haynes稱，“如果沒有完整的案例文件，幾乎不可能對攻擊者得出結論。”

更為復雜的是，Verizon正在考慮以48億美元收購雅虎公司，該交易仍在監管部門審查中。Verizon發言人稱該公司在上周二才得知雅虎的大型數據泄露事故，但表示Verizon對該數據泄露事故帶來的影響只有“有限的信息以及了解”。

IDT911公司主席兼創始人Adam Levin稱：“所有雅虎郵箱用戶必須立即更改其雅虎用戶ID及密碼，還應該更改用于訪問其他賬戶的重復的登錄信息。我們生活在數據泄露事故無法避免的環境中，消費者應該使用高強度密碼保護自己，在社交、金融、零售和電子郵件賬戶不要使用相同的信息，并定期更新;啟用雙因素身份驗證;始終警惕網絡釣魚攻擊。”

雅虎建議用戶檢查其在線賬戶是否存在任何可疑活動，更改賬戶信息，避免點擊可疑鏈接以及使用雅虎賬戶雙因素驗證工具。

FIDO聯盟執行主管Brett McDowell表示，這應該是對所有人的警示，單靠高強度密碼可能不夠，“網絡罪犯知道消費者會在網站和應用使用相同的密碼，這也是為什么這些泄露的密碼憑證可能用于后續的詐騙的原因。我們需要阻止網絡罪犯的這種行為，唯一的方法是不要完全依靠密碼。這些數據泄露事故的頻率和嚴重程度不斷提高，這種趨勢還會繼續發展，除非我們不再依靠密碼安全，而采用強大的身份驗證機制。”

Seclore公司首席執行官Vishal Gupta表示，這種攻擊的后果可能是災難性的。“現在已經有5億電話號碼泄露，我們不難想象這些個人信息可能被惡意利用。企業應該采取更嚴格的安全措施以及以數據為中心的安全解決方案，因為攻擊者總是會想出創造性的方法來將敏感信息用于惡意目的。”