雅虎在火上过来的数据泄露影响了5亿用户
EE增加了更多4G频谱来支持最新的智能手机
Intuit销售加快私募股权公司HIG Capital
遇见Tay,微软的新款AI Chat Bot
Microsoft尽快丢失1号浏览器点
巴克莱使用区块链贸易融资交易
新加坡组织面临初级IT专业人士的僵局
Codenvy团队与Microsoft帮助开发人员一起工作
谷歌为Chromebook黑客加倍赏金,达到100,000美元
由于碎片破碎,两岁的Java缺陷重新出现
MPS表示,IT系统的司法部IT系统是“脆弱和岌岌可危”
英特尔眼睛一条往返摩尔定律的道路
虚拟仪器将VirtualWisdom扩展到NAS测试
英特尔正在为MacBook排队超快速的Optane SSD技术
如何不做伙伴渠道?Dropbox和变化的压力
趋势科学表示,了解刑事境地辩护的关键
美国仍将推动加密解决方法
英特尔开发人员论坛:出于服务器机房和智能设备
Doj在Apple Case之前知道可能的iPhone开裂方法
Home IoT技术与大多数房屋无关
说,IBM的一个月的遣散费意味着下岗工人的痛苦结束
400安全事件在奥运网络上监控第二次
仅限数字原子银行向公众开放
握手想成为B2B集的广场
厌倦了等待网站加载?这个新技术可以将时间缩短一半以上
“该师”如何成为一个大规模的社会实验
国家网络安全中心BOSS计划扩大DNS过滤器
握手想成为B2B集的广场
32中小企业赢得DigitalHealth.London加速器计划
Windows 10的WASHY升级战术享受份额增长
Microsoft在Office 2016中添加宏锁定功能,以响应越来越多的攻击
Deutsche Telekom为了提高欧洲企业的安全提供
Apple的品牌感知,公众与FBI有关
更新:FBI表示,可能已经找到了射击射手的iPhone的方法
政府宣布作为学徒征税指南的一部分的数字学徒服务
ARM扩展物联网安全团队
Oracle Q1 2016-17:甲骨文的云销量增长到近1亿美元
Deutsche Telekom为了提高欧洲企业的安全提供
上下文警告在黑帽美国的VoIP战争
在赫兹,警长,震惊和艰难的选择
FBI警告,车辆对黑客来说是“越来越脆弱”的车辆
谷歌WOOS企业营销商,具有新的分析套房
NSA使用伊拉克战争来开发监控能力,文件展示
微软开源A.I.基于MINECRAFT的开发平台
Google文档现在让您决定格式编辑
欧盟为Privacy Shield协议添加了详细信息,准备给予IT法律
英国国家网络安全中心设为推出
IBM Sues Groupon侵犯其专利,包括来自Prodigy在线服务
微软开源A.I.基于MINECRAFT的开发平台
HPE在CeBIT显示了头像展位
您的位置:首页 >论坛 > 研究报告 >

雅虎在火上过来的数据泄露影响了5亿用户

2021-06-23 14:44:38 [来源]:

Yahoo在2014年未能向用户通知用户漏斗,其中暴露了“至少”5000亿用户的个人详细信息。

违法者被认为是迄今为止最大报告的违反其类型的违约,以前在2008年在MySpace突破2008年暴露的35900万美元的用户详细信息。

雅虎还被批评为宽松的安全流程,以便在内部检测和确认违约以及未能加密所有安全问题和答案。

信息专员办公室(ICO)表示,英国的隐私看门狗表示,它将调查违约,以了解对英国公民的影响。

信息委员伊丽莎白丹恩表示,受违规影响的人数是“令人惊越的”,并表明安全黑客可能的后果是多么严重。

“美国当局将寻求追踪黑客,但我们代表英国公民提出严肃的问题是我们的工作,我正在这样做。

“我们尚未了解这种黑客如何发生的所有细节,但这里有一个令人兴奋的和重要信息,为获取和处理个人数据的公司。人们的个人信息必须在锁定和钥匙下安全地保护 - 并且应该对黑客找到的关键是不可能找到的,“她说。

据报道,据报道,雅虎在2016年8月出现了“和平”的第一批公众迹象,据报道,据报道,当据报道,据称是“和平”,试图将数据从200万雅虎账户销售。

互联网公司现已确认,“最近调查”透露,受损的数据可能包含姓名,电子邮件地址,电话号码,出生日期,散列密码以及一些加密或未加密的安全问题和答案。

调查违规者表示受损数据似乎没有包含支付卡数据或银行账户信息。

雅虎表示,突破似乎是由“国家赞助的演员”进行的,但没有证据证明黑客仍然在雅虎网络,公司正在与执法部门密切合作。

该公司正在通知所有可能受影响的用户,并敦促他们更改密码并考虑使用雅虎帐户密钥,这是一个旨在消除密码的身份验证工具。

还建议使用可能影响其密码和安全问题,并使用用于其Yahoo帐户的相同信息来更改所有其他帐户的密码和安全问题。

雅虎已经失效了未加密的安全问题和答案,因此它们不能用于访问帐户。

“越来越多的世界都带来了越来越复杂的威胁。雅虎的首席信息安全官鲍勃阁下,行业,政府和用户不断处于对手的十字准系中。

“通过战略主动检测举措和积极回应未经授权的账户访问,雅虎将继续努力继续在这些不断发展的在线威胁之前,并使我们的用户和我们的平台安全,”他在博客帖子中写道。

虽然雅虎在2014年底确认了违约赛,但眨眼的数字安全的高级安全研究员Keaton Evans表示,虽然在2014年底遭到了意识到违约赛,但仍然明确。

“如果它发生在2014年,公司过去两年都知道它,那么为什么要花费这么长时间才能揭示违规程度?他说,这种缓慢的反应可能成为损害公司声誉的普及噩梦,“他说。

“它可以展示在没有正确的训练和工具的情况下,确定发生了几个月甚至几年的攻击的根本原因是多么困难。”

埃文斯说,这一点明确的一件事是,所有企业都需要通过建立一个强大的违规审裁计划来学习雅虎的错误,该计划具有更快地调查漏洞的工具。

“市场上有电器有助于自动化和加快取证过程,因此雅虎的规模没有公司的奢侈品,让客户挂起几个月,没有足够的信息或纠正措施的计划,”埃文斯说。

荷马的安全研究经理Troy Gill说:“悲伤的现实是这是最新的组织列表中,这些组织在保护客户的数据方面被挑选出来,我认为我们尚未见过最后的忏悔。

“事实上,随着技术渗透我们生命的每面部,我们只是为这些类型的事件打开门,以更频繁,并且通过所有可能性更多的可能性。“当他们据称调查了在黑暗的网络上销售的2000万条记录时,我有兴趣了解雅虎的调查结果。记录是否确认有效?如果是这样,为什么这需要这么长时间告知用户违规,为什么在之前发布的强制密码重置?“保持客户的数据安全应该是所有企业的优先事项。一个确定的黑客可能难以检测,但组织需要提交对这些类型的攻击来硬化。他说,这次违规是对所有没有公司过大或太小的目标的剧烈警告。“

迈克尔利尼斯基,CISO和首席安全战略家Atsecuronix表示,雅虎违规是一些组织已经违反的完美示例,但尚未了解它。

“我们不能继续接受这种级别的无知,”他说,他表示,他不相信这需要两年时间来找到违规行为。

“随着verizon收购过程中,有这种事情叫做尽职调查。我坚信,由于尽职调查,这只是现在来光。我相信有人早先知道这一点,“Lipinski说。

“是否有一个掩护,或者如果这个违约未被揭开两年,这是雅虎团队无法识别这么早的巨大失败,”他说。

Lipinski表示,雅虎安全团队似乎试图通过说使用Bcrypt散列密码来转变对用户的风险。

“询问他们如何为阿什利麦迪逊锻炼。他们使用了相同的盐哈希,黑客发现了一个破解密码的蛮力方法的工作,“他说。

欧洲欧洲策略总监JES BRESLAW表示,雅虎突破强调将强大的数据安全嵌入日常做法的重要性。

“再次是时间,我们已经看到了数据违规的广泛影响。我说,消费者信心受到了打击,声誉留下了纠察,并指出了负责保护组织免受攻击的人的手指。“

“尽管全球丑闻数量越来越多,但我们的研究表明,英国只有四分之一的数据被掩盖。

“传统上,组织非常擅长采取措施保护其在其生产系统中的数据,例如他们的网站,但忽略了保护其在其测试和开发发生的非生产环境中持有的敏感信息。

“在不断发展的威胁景观中,数据有意识组织需要确保将数据安全性嵌入到日常做法中。所需要的是一种不可逆转的过程,可以使用个人信息,但确保静止数据仍然可用,因此组织可以优先考虑安全性,但确保开发过程继续阻碍。

“拥抱新技术 - 包括将数据虚拟化与数据掩码相结合的技术 - 确保组织可以一次保证数据并保证所有后续副本都具有相同的保护策略。Breslaw说,这将取消昂贵的数据漏洞,并确保合规性,确保遵守敏捷性和时间。“

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。