警钟敲响，史上最大规模的单一网站泄露事件发生了！！

　　这一次，惨遭毒手的是雅虎，美国时间周四下午2点30分，雅虎正式证实其用户信息遭窃，影响账户数目至少为5亿。

　　令人震惊的是，这次盗窃并非近日发生，而是在2014年底发生，黑客盗取的信息可能包括用户名、电子邮件地址、家庭住址、电话号码、出生日期、某些密码、以及安全问题和答案等。

　　此前，虽然盗窃信息早就曝光，但是雅虎一直没有对该事件进行过“官方认定”。

　　可能稍微值得庆幸的一点是：

　　雅虎表示，支付卡数据、银行账户信息以及特定密码并未被盗，因为这些信息并未储存在被盗的这一部分系统里。

　　为了补救，雅虎发布了一系列声明和提醒：

　　我们正在通知潜在受影响的用户，雅虎发送给的用户的邮件内容可在https://yahoo.com/security-notice-content上看到。

　　我们正在要求潜在受影响的用户及时更改他们的密码，并采取备用帐户验证手段。

　　未加密的安全问题和答案不能被用来访问帐户。

　　我们建议自2014年以来所有没有修改过密码的用户修改密码。

　　我们将继续加强系统检测和防止未经授权用户访问。

　　在这件事上，我们正与执法部门紧密合作。

　　雅虎鼓励用户遵循以下安全建议：

　　如果其他账户有使用相同或类似信息，请及时更改您的密码和安全问题；

　　检查您的帐户的可疑登录；

　　请小心点击任何主动的沟通，如要求填入个人信息或链接至其他网站。

　　避免点击链接或从可疑的邮件下载附件。

　　幕后真凶究竟是谁

　　今年夏天，已有臭名昭著的黑客 Peace_of_Mind (以下简称 Peace )在暗网上叫卖雅虎被盗的这些信息， 他此前还在暗网上兜售过 LinkedIn、MySpace、Tumblr、Fling.com 和 VK.com 的数据！！！

　　关于Peace的详细信息，读者可以参考雷锋网(搜索“雷锋网”公众号关注)之前的一篇报道：《暗网地下交易：你的密码只值一分钱》。

　　Peace在暗网黑市 TheRealDeal 上对这些数据的描述大致为： 这些数据包含了2012年以来注册的用户信息。他在暗网上将这些数据标价3比特币（目前约为1800万美元）。

　　根据Peace提供的样本， 泄露的数据中包含用户名、MD5哈希密码、出生日期、邮箱、国籍等。由于密码是经过MD5加密的，而MD5哈希加密的密码可很容易的被破解，所以雅虎用户的密码就相当于以明文的方式展现出来，由此可能造成的危害可想而知。

　　但是，疑点重重的是， Peace 可能不是直接盗取雅虎数据的幕后凶手。

　　外媒Softpedia在今年8月份对Peace 展开了采访， Peace 表示：“玛丽莎·梅耶任职时，我并不知道，但在2012年，泄露 LinkedIn、vk、Tembr 等数据的同一俄罗斯黑客组织也泄露了雅虎的数据库，我售卖的数据几乎来源于这一组织。”

　　雅虎公司已经知悉此次黑市售卖，并且启动了内部调查。雅虎认为， 盗取这些信息的黑客有政府资助背景，但是目前没有证据表明，该黑客仍在雅虎网络中。

　　黑客和暗网黑市在闷声发大财

　　令人尴尬的是，Peace 及暗网黑市 TheRealDeal 还在闷声发大财。

　　我们再来科普下暗网和暗网黑市 TheRealDeal 。

　　搜索引擎里面所搜索到的内容大部分都是在表面层，表面层网络的特性是允许任何用户访问该网络，比如新闻页面，广告页面，Facebook 个人主页等。

　　除了表面层的数据以外，剩下的网络数据都处于在Deep Web 里。Deep Web 的特性是访问该数据需要特定的权限。有些页面需要特定的cookie才能访问，除了 Cookie 以外还有各种各样的权限限制种类，比如有些服务器你需要特定的IP才能访问，通过公司VPN访问到的内网环境等。Dark Net 也就是我们俗称的暗网，也可以叫做影子网（shadow web）。这一类网络层属于互联网最隐私的部分。

　　暗网黑市属于整个互联网最阴暗的一块区域，j2直播，在这个上面什么东西都会出售。