เพิ่งผ่านมาประมาณ 3 เดือน หลัง Yahoo! เปิดเผยว่าโดนแฮ็กข้อมูลบัญชีผู้ใช้ออกไปมากถึง 500 ล้านบัญชี ล่าสุด Yahoo! ได้ตรวจสอบพบอีกว่าเคยโดนขโมยข้อมูลแบบเดียวกันออกไปอีกถึง 1,000 ล้านบัญชีเลยทีเดียว
การแฮ็กนี้เกิดขึ้นตั้งแต่เดือนสิงหาคม 2013 ซึ่งเชื่อกันว่าไม่เกี่ยวข้องกับการแฮ็ก 500 ล้านบัญชี อีกทั้ง Bob Lord ผู้อำนวยการด้านความปลอดภัยของ Yahoo! ก็ระบุว่าบริษัทไม่ทราบว่าการแฮ็กดังกล่าวเกิดขึ้นได้อย่างไร "เราไม่สามารถระบุช่องโหว่ที่เกี่ยวข้องกับการแฮ็กครั้งนี้ได้" Lord โพสต์
ข้อมูลที่หลุดออกไปก็คล้ายกับคราวที่แล้ว คือชื่อ-นามสกุล, อีเมล, หมายเลขโทรศัพท์, วันเกิด, รหัสผ่านที่เข้ารหัสแบบ MD5 ไว้ และคำถาม-คำตอบเวลาผู้ใช้ลืมรหัสผ่านทั้งแบบเข้าและไม่เข้ารหัส แต่ยังดีที่ไม่มีข้อมูลเกี่ยวกับการเงิน เช่นบัตรเครดิต
ซ้ำร้าย ผู้ที่ตรวจพบการแฮ็กครั้งนี้ไม่ใช่ Yahoo! เอง แต่เป็นผู้เชี่ยวชาญภายนอก อีกทั้งการเข้ารหัสแบบ MD5 ก็โบราณมาก และสามารถถูกเจาะผ่านได้ง่ายในปัจจุบัน
ผู้เชี่ยวชาญภายนอกช่วยเข้ามาตรวจสอบระบบให้ Yahoo! และพบว่าแฮ็กเกอร์ใช้คุกกี้แบบดัดแปลงมาเพื่อหลอกให้ล็อกอินเข้าบัญชีได้โดยไม่ต้องใช้รหัสผ่าน จึงสามารถขโมยข้อมูลออกไปได้
ด้าน Verizon ที่อยู่ระหว่างการเจรจาซื้อ Yahoo! ระบุว่า "เราจะคอยติดตามสถานการณ์ไปเรื่อยๆ ระหว่างที่ Yahoo! กำลังสืบสวนเรื่องนี้ และเราจะทบทวนผลกระทบจากเหตุการณ์ใหม่นี้ ก่อนจะได้ผลสรุปใดๆ" โดยเมื่อเดือนตุลาคม Verizon ก็ขอลดราคาซื้อกิจการลง 1 พันล้านดอลลาร์ไปแล้ว
ขอขอบคุณ
ข้อมูล :blognone,TechCrunch