Yahoo在2014年未能向用户通知用户漏斗,其中暴露了“至少”5000亿用户的个人详细信息。
违法者被认为是迄今为止最大报告的违反其类型的违约,以前在2008年在MySpace突破2008年暴露的35900万美元的用户详细信息。
雅虎还被批评为宽松的安全流程,以便在内部检测和确认违约以及未能加密所有安全问题和答案。
信息专员办公室(ICO)表示,英国的隐私看门狗表示,它将调查违约,以了解对英国公民的影响。
信息委员伊丽莎白丹恩表示,受违规影响的人数是“令人惊越的”,并表明安全黑客可能的后果是多么严重。
“美国当局将寻求追踪黑客,但我们代表英国公民提出严肃的问题是我们的工作,我正在这样做。
“我们尚未了解这种黑客如何发生的所有细节,但这里有一个令人兴奋的和重要信息,为获取和处理个人数据的公司。人们的个人信息必须在锁定和钥匙下安全地保护 - 并且应该对黑客找到的关键是不可能找到的,“她说。
据报道,据报道,雅虎在2016年8月出现了“和平”的第一批公众迹象,据报道,据报道,当据报道,据称是“和平”,试图将数据从200万雅虎账户销售。
互联网公司现已确认,“最近调查”透露,受损的数据可能包含姓名,电子邮件地址,电话号码,出生日期,散列密码以及一些加密或未加密的安全问题和答案。
调查违规者表示受损数据似乎没有包含支付卡数据或银行账户信息。
雅虎表示,突破似乎是由“国家赞助的演员”进行的,但没有证据证明黑客仍然在雅虎网络,公司正在与执法部门密切合作。
该公司正在通知所有可能受影响的用户,并敦促他们更改密码并考虑使用雅虎帐户密钥,这是一个旨在消除密码的身份验证工具。
还建议使用可能影响其密码和安全问题,并使用用于其Yahoo帐户的相同信息来更改所有其他帐户的密码和安全问题。
雅虎已经失效了未加密的安全问题和答案,因此它们不能用于访问帐户。
“越来越多的世界都带来了越来越复杂的威胁。雅虎的首席信息安全官鲍勃阁下,行业,政府和用户不断处于对手的十字准系中。
“通过战略主动检测举措和积极回应未经授权的账户访问,雅虎将继续努力继续在这些不断发展的在线威胁之前,并使我们的用户和我们的平台安全,”他在博客帖子中写道。
虽然雅虎在2014年底确认了违约赛,但眨眼的数字安全的高级安全研究员Keaton Evans表示,虽然在2014年底遭到了意识到违约赛,但仍然明确。
“如果它发生在2014年,公司过去两年都知道它,那么为什么要花费这么长时间才能揭示违规程度?他说,这种缓慢的反应可能成为损害公司声誉的普及噩梦,“他说。
“它可以展示在没有正确的训练和工具的情况下,确定发生了几个月甚至几年的攻击的根本原因是多么困难。”
埃文斯说,这一点明确的一件事是,所有企业都需要通过建立一个强大的违规审裁计划来学习雅虎的错误,该计划具有更快地调查漏洞的工具。
“市场上有电器有助于自动化和加快取证过程,因此雅虎的规模没有公司的奢侈品,让客户挂起几个月,没有足够的信息或纠正措施的计划,”埃文斯说。
荷马的安全研究经理Troy Gill说:“悲伤的现实是这是最新的组织列表中,这些组织在保护客户的数据方面被挑选出来,我认为我们尚未见过最后的忏悔。
“事实上,随着技术渗透我们生命的每面部,我们只是为这些类型的事件打开门,以更频繁,并且通过所有可能性更多的可能性。“当他们据称调查了在黑暗的网络上销售的2000万条记录时,我有兴趣了解雅虎的调查结果。记录是否确认有效?如果是这样,为什么这需要这么长时间告知用户违规,为什么在之前发布的强制密码重置?“保持客户的数据安全应该是所有企业的优先事项。一个确定的黑客可能难以检测,但组织需要提交对这些类型的攻击来硬化。他说,这次违规是对所有没有公司过大或太小的目标的剧烈警告。“
迈克尔利尼斯基,CISO和首席安全战略家Atsecuronix表示,雅虎违规是一些组织已经违反的完美示例,但尚未了解它。
“我们不能继续接受这种级别的无知,”他说,他表示,他不相信这需要两年时间来找到违规行为。
“随着verizon收购过程中,有这种事情叫做尽职调查。我坚信,由于尽职调查,这只是现在来光。我相信有人早先知道这一点,“Lipinski说。
“是否有一个掩护,或者如果这个违约未被揭开两年,这是雅虎团队无法识别这么早的巨大失败,”他说。
Lipinski表示,雅虎安全团队似乎试图通过说使用Bcrypt散列密码来转变对用户的风险。
“询问他们如何为阿什利麦迪逊锻炼。他们使用了相同的盐哈希,黑客发现了一个破解密码的蛮力方法的工作,“他说。
欧洲欧洲策略总监JES BRESLAW表示,雅虎突破强调将强大的数据安全嵌入日常做法的重要性。
“再次是时间,我们已经看到了数据违规的广泛影响。我说,消费者信心受到了打击,声誉留下了纠察,并指出了负责保护组织免受攻击的人的手指。“
“尽管全球丑闻数量越来越多,但我们的研究表明,英国只有四分之一的数据被掩盖。
“传统上,组织非常擅长采取措施保护其在其生产系统中的数据,例如他们的网站,但忽略了保护其在其测试和开发发生的非生产环境中持有的敏感信息。
“在不断发展的威胁景观中,数据有意识组织需要确保将数据安全性嵌入到日常做法中。所需要的是一种不可逆转的过程,可以使用个人信息,但确保静止数据仍然可用,因此组织可以优先考虑安全性,但确保开发过程继续阻碍。
“拥抱新技术 - 包括将数据虚拟化与数据掩码相结合的技术 - 确保组织可以一次保证数据并保证所有后续副本都具有相同的保护策略。Breslaw说,这将取消昂贵的数据漏洞,并确保合规性,确保遵守敏捷性和时间。“
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。