本周三（3月1日），雅虎承认攻击者在过去两年中使用“伪造的 cookie”入侵了大约3200万个用户账户。

2016年成为雅虎“数据泄露元年”

2016年9月，雅虎宣布称，黑客至少盗取了5亿雅虎注册账户信息，成为历史上最疯狂的数据泄露事件之一。雅虎在新闻稿中说，这场大规模的数据泄露发生于2014年，除了电邮、出生日期等常规信息外，密保问题的答案，乃至一些个人专门开设的，毫无规律可循的二次加密密码也被盗取。

2016年12月，雅虎公司又发现一起大规模黑客攻击事件，导致10亿用户帐号在2013年8月被盗，泄漏数据包括电子邮件地址、名称、哈希密码、安全问题以及手机号码等，成为有史以来最大规模的网络帐号被盗事件。

受两次数据泄漏影响，Verizon最终将48.3亿美元的交易成本削减了3.5亿美元，以44.8亿美元的价格收购了雅虎公司的核心互联网资产，并平均分摊雅虎去年揭露的成本。

此次入侵与此前数据泄漏相关

未获授权的第三方获取了公司的专用代码，学会了如何伪造特定cookie。雅虎认为近期发生的入侵事件与2014年造成至少5亿用户数据泄漏的是同一攻击者所为。

雅虎在最新的年度申报文件中写道，

外部安全认证人员识别出了 约3200 万用户的账号在 2015 年和 2016年之间遭到了 cookie 伪造攻击，部分伪造cookie与 2014 年的雅虎入侵事件相关。

虽然泄漏事件已经众所周知，公司也已经深刻地意识到过去几年发生了什么，但是这个问题也只是在去年秋天的申报文件中提及，而用户也仅在几周前才收到警告通知，所以他们的账户可能已经通过这种复杂的cookie伪造攻击遭到了破坏。

据悉，伪造的cookie允许攻击者在不用密码的情况下登录用户账户。该公司表示，现在这些cookie已被作废，不能再用于登入用户账户。

后续处理

同样在本周三雅虎承认此次入侵事件后，该公司CEO 梅耶尔 （Marissa Mayer）宣布放弃 2016 年的奖金和 2017 年的年度股权奖励，为丑闻承担责任，因为这些数据泄露事件是在其任期内发生的。梅耶尔在博客上表示，在 2016 年 9月听闻用户数据泄漏后，她立即与安全团队合作向用户、监管机构和政府机构披露了泄漏事件。作为公司 CEO ，且事故又发生在其任期内，她决定放弃奖金和股权奖励，2016 年的奖金将分给辛勤工作的公司员工。