【Technews科技新报】2017 年 3 月 16 日美国司法部发文称，俄罗斯间谍和黑客合作，攻击了数千个 Yahoo 网站的使用者帐号，之前 Yahoo 曾对外宣布，在过去两三年中，大约有超过 5 亿 Yahoo 帐号资讯被盗取，这是网络时代最大的一次黑客攻击事件。

　　黑客攻击 Yahoo 网站，盗取用户资料的方式不算非常复杂，首先他们盗取了一份包括了 Yahoo 网站用户名、已加密密码和其他资料的目录文件，然后使用这些资料进入 Yahoo 的浏览器，让浏览器误以为用户已经进入个人帐户，黑客完全不需要去解密任何实际的秘密。

　　司法部的起诉书里提供了 FBI 的调查报告，针对特定的帐号系统，创建虚拟网络登入讯息来欺骗系统，这是黑客普遍使用的网络攻击方法，技术并不复杂，但面对庞大的 Yahoo 资料库，这一简单的办法成功了。此次恶意攻击最关键的是由知名黑客 Alexsey Alexseyevich Belan 骇入的部份，他盗取了一部分 Yahoo 资料库的副本，资料库内包括了所有 Yahoo 使用者帐户最重要的讯息，包括用户名、加密密码。黑客从资料库中盗取的最有价值的资料，就是创建 Web 浏览器认证讯息所处于的 cookie。

　　当使用者连上网站时，会在电脑系统中留下 cookie 文件，这一文件包括了使用者的登入讯息，当使用者再次访问这一网站时，网站会验证该电脑是否拥有有效的 cookie 或者 cookie 是否过期。许多网站为了让使用者更方便地使用，一次登入之后可保持登入状态长达 30 天，只要使用者的 cookie 没有过期，再次登入时不需要重新输入密码，因为浏览器在默认用户使用相同的电脑和网络时，是不存在安全隐忧的。

　　黑客从 Yahoo 的资料库中盗取了目录讯息，可以创建包含任何帐户讯息的 cookie，伪造的 cookie 时能够欺骗网站的认证系统，无需密码也能够访问个人帐户。

　　据司法部的资料显示，j2直播，黑客使用这一简单的办法，攻击了 6,500 个使用者帐号，包括了许多俄罗斯记者和政客的帐号，之前还盗取了 3,000 万个帐号来做垃圾邮件推广，甚至可能还有一些资金被盗取。

This is how Russian hackers broke into millions of Yahoo accounts without passwords, according to the FBI