Yahoo 2 億用戶數據被駭客非法兜售：只賣 1824 美元

根據 itworld 報導，最近有一批駭客正在暗網上兜售Yahoo 2 億用戶的登入資訊。

這次在暗網上兜售 Yahoo 用戶數據的是來自俄羅斯的駭客團隊，名叫 Peace—of—Mind（簡稱 Peace），先前也曾販賣過 LinkedIn 和 MySpace 的用戶訊息。

也許 Yahoo 的用戶們真的應該要更換密碼了。隨著 Peace 宣告他們已經竊取到了 Yahoo 2 億的用戶數據，並且正放到一個暗網上進行兜售，這個名叫「The Real Deal」的黑暗交易市場也漸漸浮出水面。在該網站上，人們可以進行一些非法的網路交易，買到「非法物品」──好比這次 Yahoo 被駭取的用戶數據。只要花 3 比特幣或者 1824 美元，任何人都能夠得到 這 2 億個 Yahoo用戶資訊。不過，該數據很有可能是 2012 年以來的舊數據。

根據 Peace 提供的樣本可以看出，洩漏的數據包含用戶名、MD5 密碼和出生日期。有一些數據竟然還包含用戶的備份電子信箱、國籍和郵政編碼。

由於登入密碼是經 MD5 加密的，Yahoo 用戶目前正面臨著一大險境：因為 MD5 密碼能迅速被解密，這也就是說 ，Yahoo 用戶的登入密碼實際上是以明文的形式被暴露無遺。

對此，國外媒體 Softpedia 聯繫了 Yahoo 公司，但他們還未承認這一事件，聲稱公司仍在調查當中。以下是 Yahoo 在信件中的聲明：

最近，我們了解到了暗網正在銷售我們的用戶數據。一直以來，我們都致力於保護用戶的訊息安全，我們公司非常重視這次事件。我們的安全小組正在核實、確認事實。Yahoo 一直以來竭力保護用戶安全，並一直鼓勵用戶使用較強安全系數的密碼，或者使用 Yahoo Account Key，並且鼓勵用戶在不同的平台盡量使用不同的密碼。

上周，Verizon 以 48 億美元收購了 Yahoo。沒有人可以確切地知道 Verizon 的 Yahoo 計劃是什麼。而 Peace 的想法是在 Yahoo 用戶帳號喪失更多價值之前賺點外快，以防萬一 Verizon 丟棄這些數據，或將其並入其它服務當中。

美國國際數據集團新聞社（IDG News Service ）表示，曾嘗試用幾個被公開售賣的信件登入訊息做過試驗，發現 Yahoo 官方是承認的（可以進行使用）。然而，另一些信箱地址已經作廢。

其實，早在 2012 年，Yahoo 就被駭客公開兜售過用戶訊息數據。那時被洩漏的用戶數據有 45 萬之多，是一個名叫 D33ds 的駭客團隊所為。不過 Yahoo 隨即就表示，大部分被兜售的密碼是無效的。

對於此次 2 億用戶數據被兜售的消息，雖然Yahoo還未明確承認，但是也並未否認，無論如何，用戶們還是趕緊去更改密碼才是上策。

消息來源