【攻略】雅虎10亿用户数据泄露企业和网民应该怎么办？

1.雅虎10亿账户泄漏事件

2016年对于雅虎公司来说，绝对是梦魇般的一年。今年9月，雅虎正式对外承认黑客曾窃取了至少五亿雅虎用户的账号密码以及个人信息。泄露的信息包括：姓名、电子邮件地址、电话号码和哈希密码。这一事件被定义为雅虎历史上最大的数据泄露事件之一。

但是该公司现在却表示，相关技术人员又发现了一些新的证据，而这些证据很可能意味着该公司还遭受过另外一次网络攻击，在这次攻击中估计有十亿用户会受到影响。影响范围远远超过公司上一次披露的黑客入侵事件。

对于雅虎主动发现并能告知用户实际受影响情况的行为应当鼓励和赞赏，毕竟这样的行为在国内恐怕很难会有企业站出来告知用户。所以今天本文并不是为了抨击雅虎，而是想告诉大家：漏洞客观存在、拖库事件层出不穷难以避免，作为企业和网民应该如何去保护用户和自己的隐私。

本次10亿数据泄密事件由雅虎官方自查发现，并主动告知用户，目前尚无数据公开下载，请勿听信谣言

2.雅虎账户在黑市有2亿数据正在售卖

据悉，今年8月，一个名叫“和平”（Peace_of_Mind）的黑客宣称，他已经盗取了2亿雅虎用户的用户名和密码，并且将这些信息出售给了黑客网络。泄露的数据包含用户名，MD5加密的HASH密码，生日，备份邮箱地址。

随后，雅虎开始配合FBI展开调查，这次的调查，YAHOO声称有5亿用户信息遭到泄露，数据泄露时间在2014年左右，泄露的信息包含用户名，EMAIL地址，电话号码，生日，密码HASH（采用bcrypt加密），有些还包含安全问题和答案。

3.部分全球大规模用户数据泄密事件回顾

俄罗斯的三大著名邮箱mail.ru/yandex/Rambler的邮箱数据泄漏

俄罗斯的三大著名邮箱mail.ru/yandex/Rambler的邮箱数据也都在暗网销售，其中rambler泄露的数据量为1亿（10 million),密码还是明文的，泄露日期为2014年3月，yandex泄露了13505910条用户数据。

图片来源：Mottion

LinkedIn 1.67亿用户帐户数据泄漏

2016年5月，LinkedIn被曝出1.67亿个账户被黑客盗取，并以5比特币 (约合2200美元)价格兜售。

mail.ru 2亿明文数据泄露

2016年8月，知名社工库网站Leakedsource报道mail.ru2亿明文数据泄露。

包括上述事件在内，全球范围内的大规模泄密数据总量已经超过40亿，下图为某泄密查询网站近期更新的部分泄密数据量：

4.数据泄露对企业的影响

YAHOO数据泄露的新闻披露后，导致Verizon对其的收购暂缓。

雅虎其实今年8月份就发现账户泄漏的事件，但是一直在隐瞒，直到确定被Verizon收购，才向外界公布了账户泄密一事。原因自然是不想因事故影响使得估值和其它权益受到削弱。如果Verizon早知此事，它对雅虎的收购价大概至少能少掏个1到2亿美元。由此可见数据泄漏会影响到企业的估值以及在业内的影响力。

5.给企业和用户的建议

由于泄密数据频发，为了避免此类事情再次发生、危害更多用户，安全客再此给企业及普通用户一些建议

企业：

1.主动出击——建立自己的安全团队，主动发现并及时修复系统存在的漏洞

2.借助外力——自建或借助第三方漏洞平台征集企业自身无法发现的漏洞

3.妥善保管——对于用户的敏感数据应当使用非常规的加密方式，并对内容进行分段存储，避免把鸡蛋放在一个篮子里，同时提提高黑客获取数据、解密数据难度。

4.完善制度——最小权限原则，即便是企业的内部员工也不应当可以随意接触到用户的敏感数据

5.完善监控——关键流量、日志行为应当留存半年以上，确保发生安全事件后具有分析溯源的依据和能力，并设置可以及时有效发现黑客攻击、拖库、撞库、数据泄密等事件的感知规则、能力。

6.及时止损——发现泄密事件后应当第一时间告知用户，极端情况下应当强制用户修改密码后方能继续使用

个人：

1. 提升密码强度——及时修改密码，不要使用弱密码，提升密码强度(如8位以上数字、字母和特殊符号组合)。

2. 避免通用密码——对于存有不同用户数据的网站使用不同级别的密码，推荐三级或以上

    第一级：可以是弱密码，用于不涉及隐私、偶尔才会登陆的网站

    第二级：使用8位以上数字+字母组合，用于存放少量用户数据、隐私的网站

    第三级：使用10位以上数字+大小写字母+特殊符号的密码，并且尽量不要在互联网上其他网站使用过相似密码，可用于微信、支付宝、京东等

    第四级：使用14位以上数字+大小写字母+特殊符号的密码，用于管理企业邮箱、关键密保邮箱等

    友情提示：密保邮箱是层层关联的，可重置密保邮箱密码的方式越少越安全哦！

3. 加强密码验证——使用短信验证码、U盾等二次验证来登录重要账号、时常查看下异地登录提醒等信息。

4. 提高安全意识——避免连接陌生WIFI或点击钓鱼邮件，更不要在非官方网站中输入您的账号和密码信息。

更多建议欢迎评论补充~!

6.其他泄密事件相关新闻：

【国际资讯】约炮网站被黑，4亿用户数据泄露（附TOP75弱口令整理）

【重磅消息】存有22.9亿数据知名社工库网站Leakedsource自己也被黑！蓝瘦，香菇！

【国际资讯】LinkedIn 1.67亿用户数据泄露，黑客公布数据中最常见的49个密码

【国际资讯】黑客售卖4亿MySpace密码

7.参考链接

1.http://motherboard.vice.com/read/yahoo-supposed-data-breach-200-million-credentials-dark-web

2.http://mashable.com/2016/09/22/yahoo-confirms-data-breach/

3.https://www.gadgetsay.com/2016/09/500-million-yahoo-accounts-were-stolen-by-peace-of-mind/

4.https://www.wired.com/2016/06/interview-hacker-probably-selling-password/

5.https://www.leakedsource.com/blog/mailru/