雅虎承认伪造的cookie被用来访问3200万帐户

雅虎面临着历史上两次最大的数据泄露事件，在一份K-10中透露，黑客利用伪造的cookie (而不是密码) 来访问3200万个帐户。该公司在提交给美国证券交易委员会 (SEC) 的文件中表示，据信在2014的 “安全事件” 中使用了相同的方法。“伪造的cookie已被该公司失效，因此它们不能用于访问用户帐户，” 它说。

雅虎的网络遭到两次破坏; 一次2013年有10亿个帐户受到影响，第二次2014年有5亿个帐户受到影响。雅虎早些时候曾表示，“调查表明，被盗信息不包括明文密码、支付卡数据或银行账户信息。”现在，雅虎已经确认黑客使用伪造的cookie而不是密码来破坏3200万用户的帐户。

观看我们所有来自Express Technology的视频

雅虎的填充内容是: “外部法医专家已经确定了大约3200万个用户帐户，他们认为这些用户帐户是使用或使用了伪造的Cookie的2015年和2016 (“ Cookie伪造活动 ”)。我们认为，其中一些活动与被认为对2014安全事件负责的同一国家资助的行为者有关。"

消息披露后，雅虎与其最高律师分道扬，处理安全漏洞。此外，雅虎首席执行官玛丽莎·梅耶尔 (Marissa Mayer) 不会获得年度奖金，也不会获得潜在的利润丰厚的股票奖励，因为雅虎的一项调查得出结论，她的管理团队对2014年发现的一项违规行为反应太慢。

雅虎承认其一些员工知道可能的2014黑客攻击。然而，该公司首次披露了2016年9月22日的数据泄露事件。三个月后，雅虎透露，它发现了一个单独的黑客2013年，影响了大约10亿个账户。根据SEC的填写，“2014年，高级管理人员和相关法律人员意识到，国家资助的参与者已通过利用公司的帐户管理工具访问了某些用户帐户。该公司采取了一定的补救措施，通知了26个专门针对的用户，并咨询了执法部门。“

2014年泄密事件发生时，雅虎最高安全官员亚历克斯·斯塔莫斯 (Alex Stamos) 2015年离开了公司，而公司的总法律顾问罗纳德·贝尔 (Ronald Bell) 因其部门对安全漏洞的缺乏反应而辞职，没有遣散费。在两次网络攻击之后，Verizon Communications Inc将收购Yahoo Inc核心业务的原始报价降低了3.5亿美元。