雅虎服务器被黑，Shellshock安全漏洞未被利用

416581791

据国外媒体报道援引知情技术人员称，罗马利亚一黑客可能利用 Shellshock 安全漏洞入侵雅虎服务器。雅虎公司于北京时间周一确认其已于周日发现一些服务器上存在安全漏洞，并已经在为系统打好安全补丁。雅虎发言人也表示，诸如用户信息及用户名之类的隐私信息并未被此次黑客行为盗取。

雅虎女发言人 Elisa Shyu 在周一的邮件中写到，「其实业界在 9 月 24 日就已经公开了多个网站服务器都存在的 Shellshock 安全漏洞问题，我们当时就注意到这个问题并为系统安装安全补丁，目前我们一直在严密监控网络。昨天夜里我们就隔离了一批关键服务器，目前并无证据表明客户的数据受到影响，我们致力于为全球用户提供最安全的体验，并将继续保护我们用户的数据安全。」

遗憾的是，雅虎并未透露黑客是否入侵了这些服务器。互联网安全研究员 Jonathan Hall 曾在其博客中公开提醒雅虎和 FBI 这个安全漏洞。他认为，考虑到该安全漏洞会泄漏用户的个人及金融信息的，雅虎和 FBI 安装安全补丁的措施还是不太及时。由于此次安全漏洞涉及到用户的电商、电子邮件甚至游戏账户会被不良黑客盗取，Jonathan Hall 还专门写邮件，甚至在 Twitter 上提醒雅虎 CEO 梅耶尔，但并未获得及时回应。

雅虎首席信息安全官 Alex Stamos 在 ycombinator 网站澄清，「经过我们的完整细致的调查，我们认为黑客并未利用 Shellshock 安全漏洞入侵服务器。我们在上周末的确有发现三台 API 服务器被置入运行恶意代码，但是这些服务器只是用来为网站前端提供体育比赛实时得分数据，并没有存储用户信息。所以说没有用户的数据被盗。目前这些恶意代码已经被清除，被感染的服务器也被修复！