7月刚出售互联网核心业务的雅虎公司今天尴尬地承认，其5亿用户的信息被黑客盗窃，这一数字远超之前媒体2亿雅虎用户信息泄露的预估，也就是说这一泄露是世界范围的，也创造了一个不好的纪录，即有史以来最大数量的单一网站用户信息被盗窃的纪录。

在雅虎公司确认5亿用户信息被黑客盗取之前，单一网站用户信息泄露的纪录前三名分别是MySpace的3.6亿邮件泄露、Linkedln的 1.67亿用户信息泄露以及Ebay的1.45亿用户信息泄露，雅虎尴尬的刷新了这个纪录。

雅虎帐号泄露被曝光的日期其实是8月1日，一名网名Peace_of_Mind的黑客在暗网The Real Deal出售2亿个据称是雅虎用户账户信息资料，当时的售价是3个比特币——当时的价格约1860美元。

Peace_of_Mind也是出售1.17亿个LinkedIn帐户信息和3.6亿封MySpace邮件的黑客，所以当时大家就认为雅虎的账户资料泄露大概率是真的。在线杂志Motherboard就测试了黑客Peace_of_Mind提供的5000个用户样本，其中包含活跃的雅虎帐号和已经停用的帐号。

当时距离Verizon公司以48.3亿美元收购雅虎公司的互联网业务刚刚过去一周，雅虎公司仅表示将会调查。而经过近两个月的调查，雅虎公司证实被盗窃的雅虎账户数量高达5亿，包括姓名、电邮地址、电话号码、家庭住址、生日信息和加密密码、部分安全问题和答案等信息都被黑客窃走，所幸不包括信用卡和银行帐户信息。

雅虎公司表示窃走大量数据的攻击发生在2014年年底，入侵黑客不属于雅虎用户，并且可能具有国家背景——Peace_of_Mind被认为是俄罗斯背景的黑客团体。

雅虎公司目前建议在2014年之后没有更换过密码的用户，应该更换自己的密码。而Peace_of_Mind曾对杂志Motherboard表示已经私下交易雅虎泄露的账户数据一段时间，只不过选择8月1日进行公开出售而已。

在Verizon公司正准备接管雅虎互联网资产的时刻，雅虎证实的这一大规模账户泄露真的让两家公司都很尴尬，并且这不是雅虎公司第一次大规模的账户信息泄露，在2012年，黑客团体D33Ds Company就公开了45万个雅虎邮件地址和密码，当时雅虎公司称45万个邮件地址中只有5%是有效的。

但也有一种可能，当时黑客就已经窃取了更大数量的雅虎账户信息，只不过放出45万个烟雾弹，证实自己行动的真实性，然后在暗网或者其他地下市场交易雅虎的账户信息。

不论雅虎的用户数据泄露是发生在2年前还是4年前，雅虎公司的漏洞都存在很久了，黑客选择8月公开只不过是为了在Verizon公司正式接管雅虎公司之前将这些账户资料变现。

雅虎邮箱是世界最早提供邮件服务的互联网公司之一，1996年开始就提供服务，故而成为很多早期互联网用户的常用邮箱。

雅虎公司目前仍拥有2.25亿的月活跃邮箱用户——这是在雅虎公司与Verizon公司的交易中公开的数据。雅虎承认泄露的用户数据有5亿之多，很可能包括活跃邮箱用户和不活跃的用户在内。 

不过即使有人停用了邮箱，包括姓名、电话号码和生日，以及密码都可以被用来对比其他网站泄露的信息，或者被用来撞库，也就是黑客尝试用泄露的邮箱和密码组合登录其他网站。

让大家吃惊的不仅仅是5亿个被泄露的账户信息数量，而是在今年8月黑客尝试出售这些数据之前，雅虎公司受到黑客攻击的信息才浮出水面。

在长达两年的时间内，雅虎是不知道用户信息泄露，还是有意隐瞒呢？在这段时间内，如果有的雅虎用户遭到金钱上的损失，这又如何追究责任呢？

只不过这部分的责任很难举证，目前也不知道这次大规模的信息泄露是否会影响雅虎公司出售互联网核心业务的过程和估值。

黑客的活跃和盗窃各个网站的用户信息正成为科技公司日益头痛的事情，今年包括Facebook CEO扎克伯格在内的多名各界知名人士的Twitter账户被入侵，据说就是LinkedIn账户泄露事件导致的，因为扎克伯格在LinkedIn和Twitter使用了相同的密码。

其实很多用户也在不同网站使用相同密码，如果一家网站的信息泄露，往往其他网站的账户也会被攻破。而在不知道的地下交易市场，还不知道有多少网站的信息在被交易，对于普通用户来说，现在是在不同网站尝试不同的复杂密码组合，来降低黑客攻破网站损失的时候了。

除了被盗用户信息的规模之外，雅虎直到现在才承认该事件，其“拖拉”背后的原因也让人产生怀疑，考虑到雅虎已经将核心业务出售给了美国电信巨头Verizon，推迟公布究竟是为了方便“卖身”还是有其他的情非得已？

雅虎公司在tumblr上发表的官方声明

尽管信息被盗发生在2014年，但雅虎直到现在才公开承认该事件，这种拖延程度引起了不少媒体和行业相关人士的注意。难道雅虎是直到最近才发现信息被盗的吗？

“为什么要雅虎承认被黑、确认被盗信息的规模花了这么久的时间？为什么雅虎在这么久之后才将这件事告知用户、让他们采取行动保护自己？所谓的由政府资助的黑客，通常的行动都是出于政治目的，而不是为了经济利益。那么为什么有人一而再再而三地在网上出售他人的账户信息？又有什么证据能证明黑客到底是受人资助的呢？”在雅虎官方声明发布后，英国广播公司（BBC）也在其报道中进行了一连串的发问。

从目前的事态来看，蒙在鼓里的似乎不只是广大用户，还有此前刚刚收购了雅虎核心业务的Verizon。该公司表示，自己也是“两天前”才得知了这一消息，BBC还援引Verizon方面的表态称，目前该公司在这一事件上获得的信息也很“有限”。

Verizon Communications Inc.今年7月同意以48.3亿美元现金收购雅虎的网络资产，结束了雅虎旷日持久的寻求出售流程。

“随着调查继续推进，我们将从Verizon的利益视角进行评估，包括消费者、客户、股东和相关社区的利益视角。”Verizon方面补充道。

“雅虎或将因为这一案件遭遇来自监管层、媒体和公众的严密审查，理应如此。”网络安全公司Covata的副总裁尼基·帕克（Nikki Parker）表示，“企业不可能对数据遭窃遮遮掩掩，他们必须要坦白，并表现出将致力于解决问题的态度。”

“我希望雅虎和Verizon合同上的墨水已经干了。”帕克补充道。

“一个2014年发生的信息泄露事件，居然这么久都不被察觉，这一点真的很让人担忧，同样令人吃惊的是，这份公开声明来得也如此之晚。”萨里大学教授艾伦·伍德沃德(Alan Woodward) 称，“我认为大多数公司早已认识到，在这方面，信息披露得越早其实越好，就算之后需要随着事件的进展更正公开的信息，也还是宜早不宜迟。”

不过，也有分析认为，雅虎此举或“另有隐情”，据路透社援引三位不具名美国情报官员的消息称，他们认为这起信息被盗案很有可能是政府资助行为，因为案件与此前的一些类似行为具有很高的相似性。

截至目前，已有多家企业宣称自己遭遇过黑客袭击，并因此导致用户信息泄露。近段时间，与雅虎“同病相怜”的就有MySpace、领英与Adobe三家公司，他们信息泄露的用户规模分别是3.59亿、1.64亿与1.52亿。