5亿雅虎帐户被盗：今年最大的信息泄露事件

5亿雅虎账户被盗，账户信息可能包含电子邮件地址、电话号码、出生日期、哈希密码，甚至包含密码和安全问题。雅虎账户泄露事件打破了Myspace 4.27亿账户被盗的记录，是今年迄今为止账号被盗规模最大的信息泄露事件。

雅虎首席安全官Bob Lord在一份声明中说，“账户信息可能包含电子邮件地址、电话号码、出生日期、哈希密码，在某些情况下，还包含密码和未加密的安全问题和答案”， “正在进行的调查表明，窃取的信息不含无保护的密码、支付卡数据或银行账户信息;支付卡数据或银行账户信息并没有存储在受影响的系统中。”

雅虎将通知受影响的用户并强制重置密码，并敦促使用多因素身份认证，包括雅虎账户的密钥。雅虎还将受影响账户的未加密安全问题和答案废除了，并建议2014年之前没有修改密码的所有用户修改密码。

雅虎确认2亿用户凭证被黑客挂到暗网出售，售价3个比特币或约1800美元。

此次攻击被盗的数据可以追溯到2012年，鉴于用户会重复使用相同的密码在多个不同在线账户上，被窃取的凭证可以让攻击者访问同一名受害者的多个账户。

消息来源threatpost 沃通WoSign翻译整理

相关资讯：

雅虎调查疑似黑客案：2亿用户账号或遭窃并出售

北京时间8月3凌晨消息，雅虎正在就一桩疑似黑客案展开调查，内容是其2亿个用户账号可能已被窃取，并在黑市网络上被出售。

继LinkedIn、MySpace..之后,雅虎某团体约6500万Tumblr账户数据在黑市热卖

本月早些时候Tumblr曾透露，某第三方团体曾在2013年被雅虎收购前，大量的邮箱账号和密码已被黑客获取。近日，一名叫peace_of_mind的黑客在暗网黑市The Real Deal，正大肆兜售Tumblr的数据，定价为0.4255比特币(约合225美元)。

微软雅虎谷歌等电邮巨头联合 推出电子邮件新安全标准

新提出的SMTP严格传输安全(SMTP STS)能解决以上两个问题。它赋予了邮件服务提供商告知客户端应用TLS的途径，还能提示客户端验证证书，告知客户端TLS连接不能安全建立的时候会发生什么状况。