posted by wap
雅虎最近的麻烦不断，光是泄露用户数据被曝光这件事，已经在 3 个月内发生第二次了。

据雅虎官方消息，继今年 9 月被曝 5 亿用户数据泄露后，雅虎再次发现数据泄露事件，波及 10 亿雅虎账户，比 9 月的数据泄露事件波及的账户再翻一倍。本次事件也被外媒称为互联网史上最大规模的信息泄露事件。

yahoo

雅虎在公告中称，这一批用户数据泄露事件发生于 2013 年 8 月，由于雅虎密码遭到黑客攻击，致使约 10 亿雅虎用户的姓名、电话、出生日期、邮箱等被盗。从原因上分析，雅虎当时使用了被业界公认安全性较低的 MD5 算法，这种算法即使对于活跃在 2013 年的黑客来说破解难度也很低。

今年 9 月 23 日，雅虎宣布 2014 年期间至少 5 亿条用户信息被黑客盗取，包括用户的姓名、电话、出生日期、邮箱密码等信息外泄，因此雅虎建议所有用户都需要及时更换密码，防止更多信息外泄。

最引人担忧的是，雅虎称本次的 10 亿雅虎账户数据泄露事件，与 9 月的 5 亿账户数据泄露没有关联。换言之，在近 3 个月内雅虎用户数据泄露总数已经达到 15 亿人次。

verizon-storefront_meitu_2

在 9 月的信息泄露事件曝光后，正在进行中的 Verizon 收购雅虎交易备受打击， Verizon希望借此压低 10 亿美元的报价。而再次爆发更大规模的用户信息泄漏后，Verizon 的想法就不只是压价、迟疑这么简单了。Venturebeat 报道称，Verizon 部分董事会成员提出终止这笔价值 48.3 亿美元的收购为妙。

此外，对于真正受害的海量雅虎用户来说，2013 年 10 亿用户数据被泄，2014 年 5 亿用户数据被泄，两次事件都是今年才被雅虎公布的，那还有多少可能存在的信息泄漏事件还未被曝光的呢？或者说，还有多少用户数据没被泄漏？

题图自：BGR

插图自：Digitaltrends

http://www.ifanr.com/762172

=========分割分割===========

今早被这封邮件吓得睡意全无赶紧起床处理。这邮箱是以前玩flikr时用的，密码“正好”相同。虽然好久没登陆了没想到也会中招

posted by wap, platform: Samsung
雅虎中文邮件服务关了就算邮箱信息被盗也不能修改密码了吧？

posted by wap, platform: Samsung
雅虎中文邮件服务关了就算邮箱信息被盗也不能修改密码了吧？

posted by wap, platform: Chrome
我也看到这个了，我现在准备把自己的密码管理，过渡到一个开源的密码管理工具去，每个网站都有不同的，生成的强密码，这样泄漏了也没关系。然后这个密码库用私有云同步。不然现在真是没办法保证数据安全了，几乎是没有一个公司是不会泄漏的。

posted by wap

引用:

原帖由 @jun4rui  于 2016-12-15 14:30 发表
我也看到这个了，我现在准备把自己的密码管理，过渡到一个开源的密码管理工具去，每个网站都有不同的，生成的强密码，这样泄漏了也没关系。然后这个密码库用私有云同步。不然现在真是没办法保证数据安全了，几乎是没有一个公司是不会泄漏的。

思路跟我完全一致。我可是两年前就开始迁移了，具体看这帖：http://club.tgfcer.net/viewthread.php?tid=6676540
现在SugarSync已经报废，KDBX文件同步于私有+公共云。
这回被登陆的邮箱属于少数几个没迁移的，真是符合墨菲定律

posted by wap, platform: iPhone

引用:

原帖由 @jun4rui  于 2016-12-15 14:30 发表
我也看到这个了，我现在准备把自己的密码管理，过渡到一个开源的密码管理工具去，每个网站都有不同的，生成的强密码，这样泄漏了也没关系。然后这个密码库用私有云同步。不然现在真是没办法保证数据安全了，几乎是没有一个公司是不会泄漏的。

完成之后麻烦上来说下思路
好几年之前就打算弄one password之类的了，可是一直找不到机会全部迁移

posted by wap, platform: Android

引用:

原帖由 @jun4rui  于 2016-12-15 14:30 发表
我也看到这个了，我现在准备把自己的密码管理，过渡到一个开源的密码管理工具去，每个网站都有不同的，生成的强密码，这样泄漏了也没关系。然后这个密码库用私有云同步。不然现在真是没办法保证数据安全了，几乎是没有一个公司是不会泄漏的。

用chrome的自带功能就差不多满足需求了。

posted by wap, platform: Samsung

引用:

原帖由 @couger  于 2016-12-14 20:38 发表
用chrome的自带功能就差不多满足需求了。

有问题，最大的问题是你密码肯定会设置成一样的，或者几种，一个被盗一串被盗，这个chrome解决不了。

专门的工具会自动生成每个网站独有的密码，每个都不同，根据网站的名字和你的主密码等等要素运算出来，这样一个被盗根本没影响。而你的主密码只有一个，且不用来在别处登录，只用在这一个地方，归你自己保管。

posted by wap, platform: Samsung

引用:

原帖由 @寂静狼  于 2016-12-14 20:37 发表
完成之后麻烦上来说下思路
好几年之前就打算弄one password之类的了，可是一直找不到机会全部迁移

那肯定，研究出来的东西分享才有价值，自己用多没意思。

楼上那位兄弟的我先研究看看。

posted by wap, platform: Android
雅虎退出中国很多年了。

posted by wap, platform: Samsung

引用:

原帖由 @Kuzuryuusen  于 2016-12-14 18:45 发表
思路跟我完全一致。我可是两年前就开始迁移了，具体看这帖：http://club.tgfcer.net/viewthread.php?tid=6676540 >>wap
现在SugarSync已经报废，KDBX文件同步于私有+公共云。
这回被登陆的邮箱属于少数几个没迁移的，真是符合墨菲定律

工作量太大，原来没有下决心转，毕竟想想这么多大公司总不可能都泄密吧？

结果这两年各种奇葩搬库事件层出不穷，加上现在暴力破解对各类单词、拼音、年月日的组合越来越完善，md5之类撞库的匹配库越来越成熟，除非二次验证，否则90%的密码都可以在短时间内被破掉。

所以还是下决心转了。


你三年前就开始搞，有远见啊

posted by wap, platform: Android
喷了，Yahoo还有啥东西

posted by wap, platform: iPhone
赶紧改了几个yahoo邮箱。怕撞库，我要不要也改其他的？工作量太大了，唉

posted by wap

引用:

原帖由 @jun4rui  于 2016-12-15 18:22 发表
工作量太大，原来没有下决心转，毕竟想想这么多大公司总不可能都泄密吧？

结果这两年各种奇葩搬库事件层出不穷，加上现在暴力破解对各类单词、拼音、年月日的组合越来越完善，md5之类撞库的匹配库越来越成熟，除非二次验证，否则90%的密码都可以在短时间内被破掉。

所以还是下决心转了。


你三年前就开始搞，有远见啊

提醒一下，最好建立一个简单的任务每天备份这个KDBX文件，实在太重要了。
别说，有一次同步出了点问题冲突还是什么的文件不见了！幸好有备份瞬间恢复。有惊无险啊。

posted by wap, platform: Samsung

引用:

原帖由 @Kuzuryuusen  于 2016-12-14 23:20 发表
提醒一下，最好建立一个简单的任务每天备份这个KDBX文件，实在太重要了。
别说，有一次同步出了点问题冲突还是什么的文件不见了！幸好有备份瞬间恢复。有惊无险啊。

多谢，我的这个是resilio sync和qnap的qsync多点备份，而且还有日志可以保留近期的十几个改动，就算直接删除都能记录30天。