야후! 가 몇 년 전에 사용자정보 5억 건이 털렸다고 얼마 전에 발표했습니다.

우리 나라만 그런 줄 알았더니 외국 it회사들도 별다를 거 없군요.

끝까지 숨길 작정이었던 모양인데, 요즘 야후가 기업매각 물건으로 올라와 있거든요. 그래서 기업 실사 중이라 숨길 수 없어서 시인한 모양입니다.

한국 야후가 서비스를 안 한 지 오래 됐지만, 야후 이메일 계정은 아직 살아 있습니다.^[각주:1]

그러니 야후 메일계정을 아직 쓰는 분들은 꼭 비밀번호를 바꾸세요.

IT 거인 야후의 사용자 계정 약 5억건 도난당했다

보안뉴스: 2016-09-23

두 달전 암시장에 이미 2억건 돌아다녔는데... 같은 사건인가?

야후는 버라이즌과 M&A 진행 중...정부 후원 받는 해커가 좋아하는 정보

야후의 CISO인 밥 로드(Bob Lord): 

- “공격자들이 야후 사용자 계정 정보의 일부를 훔쳐내는 데에 성공한 것으로 보인다”

- "여기에는 이름, 이메일 주소, 전화번호, 생년월일, 해시처리 된 암호, 보안 Q&A 등이 포함되어 있을 가능성이 높다”

- 암호 대부분은 Bcrypt로 해시처리가 되어있고, 보안 Q&A는 일부만이 암호화되어 보관된 상태. 다행히 지불카드 정보와 은행 계좌 정보는 이번 사건과 무관.

* 전에 제가 농담섞어서, "웹사이트들이 강제로 비번바꾸라고 할 때는 털린 걸 말 못 할 때"라고 적었는데, 진짜 그런 듯.. 저 기사에 따르면, 이번에 야후에서는 가입자들에게 이렇게 알렸다고 합니다:

이미 야후는 사용자들에게 암호를 바꾸라는 권고 이메일을 발송한 상태다. 

다만 “야후 계정을 안전하게 보호하세요”라는 제목만 이메일에 붙어 있을 뿐 아무런 설명도 없다고 한다. 

그러나 일부 사용자들은 “계정에서 수상한 행위가 발견되었습니다”라는 내용 안내와 암호를 어떻게 바꾸는지에 대한 설명도 함께 첨부되어 있었다고 말한다. 전자는 해킹사건과 관련이 없는 사용자들을 대상으로 한 이메일, 후자는 5억 건 내에 포함된 사용자를 대상으로 한 이메일인 것으로 보인다. 

- 보안뉴스

2016.8월, 피스 혹은 피스오브마인드라는 해커가 암시장에 야후 크리덴셜(가입자정보?) 2억 건을 내놨음. 이후 야후는 수사를 시작/의뢰한 모양이고, 9월 초에 이와 같은 피해 사실을 공개했는데 이것과 그것이 같은 건인 지, 그걸 조사하다 더 털린 걸 알게 됐는 지, 혹은 5억건+2억건인 지는 보도자료를 내놓지 않아 알 수 없음.

우리 나라 회사들과 야후가 크게 다르지 않다고 생각하면, 얘들이 이번에 시인한 게, 

저번 인터파크때를 생각하면 야후가 더 질이 나쁜 것 같네요.

기사 말미에 붙은 조언 하나:

절대로, 여러 웹사이트에 같은 비밀번호를 사용하지 마라!

추가 기사.

http://clien.net/cs2/bbs/board.php?bo_table=news&wr_id=2246012

전 임원이, 10억 건 이상일 지도 몰라~ 하고 썰을 품.

야후의 시장점유율을 생각하면 거의 다 털렸다는 얘기같이 들린다.;;

그리고

한때 인터넷 공룡이었던 야후가 내리막길을 걷고 있는 것은 머리사 메이어 최고경영자(CEO)의 오판과 잘못된 믿음 때문이라는 주장 

- http://www.hankyung.com/news/app/newsview.php?aid=201606207198g

10.6.

그리고,

미국 정부의 정보기관을 위해 사용자 이메일을 털어봤다는 뉴스까지 나왔습니다. ㄷㄷㄷ

Exclusive: Yahoo secretly scanned customer emails for U.S. intelligence - sources -

http://www.reuters.com/article/us-yahoo-nsa-exclusive-idUSKCN1241YT

1. 요즘 웹사이트 회원가입은 로그인할 때 id대신 연락 이메일을 넣는 게 많아서, 이메일을 제공하는 회사가 서비스를 종료해버리면 무척 난감해지죠. 이런 경우를 고려한 계정변경절차를 잘 만들어두기 바랍니다. [본문으로]