雅虎似乎又陷入麻烦了。据ZDNet报道,该公司发出电子邮件警告用户,国家支持的攻击者可能已经攻陷了他们的帐户。据说这次攻击依赖于一个合理的cookie伪造漏洞,可以执行攻击而不需要获取用户密码。雅虎在去年发布了一系列引人注目的公告,表示旗下用户的账户已经被多次攻击。这家桑尼维尔巨头透露,它遭受了一次大规模攻击,影响超过50万用户,然后三个月后,它又被黑客攻击,使十亿用户面临风险。
最新攻击的规模仍不清楚,但ZDNet获得的电子邮件表明,这次攻击可追溯到2015年。雅虎公司发言人证实:“调查发现,我们认为黑客利用了用户帐户的认证cookie发动攻击。雅虎正在通知所有可能受影响的账户持有人。”
雅虎进一步指出,在发现这次攻击事件之后,雅虎让所有用户的Cookie作废,从而有效地切断了黑客攻击。这个消息在Verizon结束收购雅虎谈判之后公布,这2家公司最初达成了48.3亿美元的收购要约,但Verizon很可能会在黑客攻击之后将出价大幅度降低2至3.5亿美元。
