雅虎黑客案：认证Cookie滥用与国家级攻击者揭秘

美国司法部对四名涉嫌2014年雅虎数据泄露的黑客提起公诉，其中包括两名俄罗斯联邦安全局官员及一名哈萨克斯坦籍加拿大居民（唯一被捕者）。攻击者窃取超5亿用户账户信息，并针对俄罗斯记者、美俄政府官员及私营企业员工进行定向入侵。

认证Cookie滥用：攻击者获取关键信息后手动生成雅虎认证Cookie，绕过身份验证机制未授权访问至少6500个邮箱账户（涵盖Yahoo、Google等平台）。
攻击动机未明：当局尚未披露具体攻击动机，但强调此类手法可被威胁行为体广泛利用。

SearchSecurity《Risk & Repeat》播客指出，此事件凸显认证凭证管理漏洞的严重性，需加强会话令牌的加密与生命周期管控。