美国司法部周三指控两名俄罗斯联邦安全局特工和两名黑客参与了对雅虎的入侵。如图所示，从左到右分别是俄罗斯特工 Dmitry Dokuchaev 和 Igor Sushchin，以及黑客 Alexsey Belan 和 Karim Baratov。俄罗斯联邦安全局的前身就是克格勃。FBI 特工称，最初的攻击针对的是一名具有部分权限的雅虎雇员，方法是社交工程或钓鱼攻击，在获得这名雅虎雇员的凭证之后，Alexsey Belan 对雅虎的内部网络进行了侦查，在此过程中发现了两个关键的资源：雅虎用户数据库 Yahoo's User Database (UDB) 和管理工具 Account Management Tool。UDB 中的内容让 Belan 和两名联邦安全局特工能定位他们感兴趣的目标账号，而 Account Management Tool 让他们可以改变目标账号的密码。入侵者随后还发现了一个工具让他们可以伪造目标用户账号的 cookies，无需修改密码就能访问账号。UDB 数据库记录了用于在账号认证后生成 cookies 的随机数。利用这些信息，Belan 和两名俄罗斯特工能伪造 cookies 去访问目标账号。在 2014 年 11 月到 12 月之间，Belan 将部分 UDB 数据通过 FTP 传输到他的电脑上，不再需要访问雅虎网络就能伪造 cookies。Belan 和俄罗斯特工使用伪造的 cookies 访问了超过 6500 名用户的账号。根据起诉书，俄罗斯黑客和特工寻求访问俄罗斯记者、俄罗斯和美国官员，以及知名俄罗斯网络安全公司雇员的雅虎账号。

根据雅虎递交到 SEC 的文件，雅虎 CEO Marissa Mayer 将获得 23,011,325 美元的离职补偿。雅虎将核心资产出售给 Verizon 之后将变成一家控股公司，主要资产是其持有的阿里巴巴和雅虎日本股权。Mayer 将继续担任 CEO 直至交易完成，之后其职务将由董事 Thomas McInerney  执掌，她同时将退出雅虎董事会。Mayer 的离职补偿包括近 302 万美元现金以及此前被授予的限制性股票带来的约 2000 万美元收益。离职补偿不包括 Mayer 截至 3 月 8 日所持的价值 5,680 万美元的近 290 万股股票期权。雅虎和 Verizon 预计将在今年第二季度完成收购交易。

在雅虎承认未能恰当调查影响十亿用户的黑客入侵事件后，CEO 梅耶尔 (Marissa Mayer)宣布放弃 2016 年的奖金和 2017 年的股权奖励。梅耶尔在 Tumblr 博客上称，在 2016 年 9月听闻用户数据库文件失窃后，她与团队合作向用户、监管机构和政府机构披露了事故。作为公司 CEO ，而事故又发生在她任期内，她决定放弃奖金和股权奖励，2016 年的奖金将分给辛勤工作的公司雇员。梅耶尔指，外部调查人员识别出了 3200 万用户的账号在 2015 年和 2016年之间遭到了 cookie 伪造攻击，部分伪造与 2014 年国家支持的攻击者对雅虎的入侵相关。在 2014 年的攻击中，攻击者利用雅虎的账号管理攻击特别针对了 26 个账号。雅虎没有披露这个 26 个账号的详细信息。

在曝出两次大规模用户帐户泄漏事件之后，Verizon 修改了与雅虎的交易，将收购金额从原来的48.3 亿美元减少 3.5 亿美元至 44.8 亿美元。《华尔街日报》援引知情人士的消息报道，两家公司技术人员最近的一次会议透露出，雅虎的一些系统受到破坏，并且可能难以并入 Verizon 的 AOL 部门。雅虎最近又开始向用户发出账号可能被入侵的警告，看起来雅虎的黑客攻击事件尚未结束。新的收购协议还需要雅虎股东的批准，双方希望交易在 4 月中旬完成。

《华尔街日报》援引知情人士的消息报道，Verizon 与雅虎接近达成修改后的交易，预计收购价格将减少大约3亿美元，也就是从原来的 48 亿美元减少到 45 亿美元。雅虎在去年宣布将核心业务出售给 Verizon 后披露了两次大规模的数据泄漏事件，影响用户数以十亿计。知情人士称，两家公司可能会在 Verizon 完成数据泄露事件调查前达成上述协议。即使存在不确定性，Verizon 高管仍希望尽快完成收购，以便着手将雅虎并入美国在线。与此同时，雅虎开始向在 cookies 伪造攻击中未经授权访问的用户账号发去警告信息。

雅虎在宣布将核心业务出售给Verizon后披露了两次大规模的数据泄漏事件，影响用户数以十亿计。据《华尔街日报》援引消息来源报道（付费墙），美国证券交易委员会正在调查雅虎是否应该更早向投资者透露黑客入侵事件。而雅虎与Verizon的交易也因这两次事件推迟。雅虎表示，正与Verizon致力于“整合计划”，但预计这笔交易不会在第一季度完成。雅虎现在预计，并购将“最早在第二季度”完成。

昔日的互联网巨人雅虎将在核心业务出售之后改名为Altaba，变成一家投资公司。《华盛顿邮报》援引匿名知情人士的消息报道，新名字Altaba是alternative和Alibaba两个单词的组合，意思就是指该公司的主要资金来自阿里巴巴的股份。雅虎持有阿里巴巴15%的股权，价值大约350亿美元，它还持有雅虎日本 35.5%的股权，它持有的专利组合将通过拍卖出售掉。

雅虎将正式成为互联网的历史。根据递交到SEC的文件，在将核心业务出售给 Verizon的交易完成之后，雅虎将更名为叫Altaba的投资公司，绝大部分董事会成员将辞职，其中包括CEO Marissa Mayer。 Verizon是在去年7月以大约48亿美元收购雅虎核心资产（不包括雅虎持有的阿里巴巴和雅虎日本股份），但随后因为雅虎先后两次爆出大规模用户信息泄露，Verizon考虑与雅虎重新协商收购条款。

雅虎昨天公开了史上最严重的信息失窃事件：多达10亿用户的账号信息泄露。在用户账号信息泄露公开之后，美国联邦调查人员及议员周四再次对雅虎发起调查，这件事也促使Verizon对收购雅虎互联网业务要求更有利的条款。路透社援引知情人士的消息报道，Verizon正试图说服雅虎修订并购协议条款，以反映两次黑客事件造成的经济上的影响。另一名知情人士称，Verizon仍预计会进行并购交易，但正在寻求以最近的数据泄露事件为理由，争取“重大让步”。知情消息人士透露，Verizon曾威胁如若不重新定价，则将诉诸法院摆脱此项交易，理由是存在实质负面影响。

雅虎官方证实超过10亿用户帐户在2013年的cookies伪造攻击中失窃，这起事件与之前披露的5亿用户帐户失窃不相关。雅虎称，未经授权的第三方在2013年8月窃取了超过10亿账号的数据，窃取的信息包括了用户名、电子邮件地址、电话号码、出生日期、MD5未加盐哈希密码，部分加密或未加密的安全问题和答案。雅虎称，密码不是明文的，但MD5哈希密码早就被认为不再安全。雅虎表示，银行账号信息和支付卡信息没有储存在被入侵的服务器上。雅虎称，调查显示攻击者通过学习雅虎的专有代码学会如何伪造cookies，然后利用伪造的cookies不用密码就能访问用户帐户。雅虎已让伪造的cookies失效。它表示在2013年夏天开始使用 bcrypt哈希加盐保护用户密码，但遭到攻击时尚未完成升级。这起安全事故是史上最严重的数据失窃事件，目前还不知道是否会影响到 Verizon 的收购。

雅虎在递交到SEC的文件中披露了对窃取其数亿账号的黑客的更多细节。雅虎是在今年9月承认，由国家支持的黑客在2014年窃取了超过5亿用户的账户信息。这一事件可能会影响到 Verizon Communications出资48亿美元收购雅虎核心业务的计划。在最新文件中，雅虎称它在2014年发现了国家支持黑客访问其网络，黑客创建了cookies文件使其能无需密码就能访问特定账号或账号信息。雅虎称，黑客入侵事件公开后，雅虎面临了23起集体诉讼。

美国专利商标局USPTO公布了雅虎公司的一项智能广告牌专利申请：利用乔治奥威尔做梦都没有想到过的监视技术去向用户提供个性化的广告牌。雅虎设想的数字广告牌布置在公路、酒吧、飞机、渡轮、火车和其它公共空间，利用摄像头、无人机、卫星、麦克风、运动传感器、生物传感器如指纹、视网膜以及面部识别和车辆识别设备，去分析周围的环境，在人们行走或搭乘交通工具时向他们展示针对性的广告。

Verizon 周四表示，该公司有“合理依据”相信，雅虎电邮账户大量资料遭窃产生严重影响，有可能让Verizon取消48.3亿美元收购其核心资产的交易。Verizon 律师 Craig Silliman 在华盛顿对记者表示，资料失窃一事可能触发协议中的一项条款，按照该条款，Verizon可以不完成交易。他拒绝透露双方是否正在商议重谈收购价格。雅虎发言人随后称：“我们对雅虎的价值抱有信心，我们继续进行与Verizon 整合方面的工作。”协议中有一项条款规定，如果发生新的问题，可合理预期将对业务、资产、财产、营运或财务状况产生负面影响，则 Verizon 可以退出这项交易。专家表示，竞购方试图利用重大不利条款从并购交易中抽身，不是那么容易的。美国还没有一家公司在法院成功地利用这一条款退出交易。

上个月，雅虎先后曝出了两大丑闻：其一是应情报机构要求秘密安装软件扫描邮件内容寻找特定信息，其二是超过五亿用户的账号泄漏。对部分用户来说，这两大丑闻可能是“压垮骆驼的最后一根稻草”，丑闻促使他们放弃雅虎邮箱，转投其竞争对手。然而雅虎并不想他们离开。路透社报道，雅虎关闭了 Yahoo Mail 的邮件自动转发功能。已设置自动转发的用户不受影响。雅虎在其网站上称，自动转发功能正在开发已暂时禁用。

Motherboard援引知情人士的消息报道，雅虎按NSA或FBI的命令安装的扫描电邮的软件实际上是一个类rootkit恶意程序。雅虎被命令扫描特定邮件信息，报道称政府想要寻找的是国家支持的外国恐怖组织使用的通信方法的特定数字签名，该恶意程序与雅虎用于扫描恶意程序、垃圾邮件和儿童色情图像的系统完全不同，它类似于rootkit。消息来源称，雅虎的内部安全测试团队在一次检查中发现了该恶意程序，他们起初以为是黑客安装的，该恶意程序被认为是危及到雅虎所有用户的后门程序。这一安全事故报告给了当时的首席信息安全官Alex Stamos， Stamos发现该恶意程序是有意安装的，他与管理层进行了谈话。随后，恶意程序的痕迹被迅速掩盖。

又一名雅虎前雇员提起诉讼，指控公司管理层歧视男性。原告 Scott Ard 在起诉书中指控雅虎的员工排名系统没有任何监督或问责，更多带有任意性和歧视性。今年二月，雅虎前雇员Gregory Anderson起诉管理层对男性雇员有偏见。和Anderson一样，Ard也将矛头对准了他的两名女上司，称在女上司上任前他的工作表现评价要么是“十分满意”要么是“十分出色”，2015年1月他却因为工作评估“不令人满意”而遭到解雇。他还指责在女上司就任后，管理层的女性比例从以前的不到20%增加到了超过80%，在18个月内，雇佣或提拔的16名高级雇员有14名是女性。

路透社援引知情人士的消息报道（中文），雅虎去年秘密制定了一个专门的软件计划，检查客户收到的所有邮件，按照美国情报部门官员提供的特定信息进行搜索。三位前雇员及一位消息人士称，雅虎遵照美国政府一项机密要求，按NSA或FBI的命令，浏览数以亿计的雅虎邮箱账户。一些监控专家称，一家美国互联网公司同意情报机构要求、搜索所有收件信息，这种做法不同于实时监测存储信息或检查少量账户，这种事还是首次被曝光。尚不知道情报机构的官员要查找哪些信息，只知道他们希望雅虎搜索一套字符。知情人士称，这可能是邮件或附件中的一个短语。这些知情人士要求匿名。两位已离职员工说，CEO Marissa Mayer遵守这一指令的决定，惹恼了一些高级主管，导致首席信息安全官Alex Stamos在2015年6月离职。美国三大科技公司苹果、Google和微软都表示没有类似雅虎的电子邮件扫描计划。微软称它没有类似的秘密扫描，苹果将CEO库克有关消费者隐私的公开信作为回应，Google称它没有收到类似的要求，表示即使收到也会予以拒绝。

雅虎在BSD 2条款许可证下开源了它用于分类NSFW图像的深度学习模型Open nsfw model，源代码发布在GitHub上。雅虎的模型只针对一类NSFW图像：色情图像，不涉及NSFW的卡通和素描等。雅虎称，目前还没有识别NSFW图像的开源模型或算法，他们本着合作的精神以及致力于推动NSFW图像识别技术的进步而决定开源它开发的模型。它的模型使用了Caffe深度学习库和CaffeOnSpark分布式学习框架，已经预先训练过，能对图像给出0到1的NSFW评分（如图所示），开发者如果想使得的话只需要对它进行微调。

2010年，包括谷歌、雅虎在内的多家美国科技公司的计算机系统和客户电子邮件账户遭到中国军方黑客侵入。谷歌的联合创始人Sergey Brin认为公司系统遭受的攻击是对其个人的侮辱。作为回应，他把安全定为公司的首要任务。谷歌用六位数的签约奖金招募了数以百计的安全工程师，在安全基础设施上投资数亿美元，还提出了一条新的内部格言“Never Again”，以示其永远不会再允许任何人——不管是间谍还是犯罪分子——侵入谷歌客户的账户。然而，据多名参加过安全讨论但只同意匿名介绍情况的现任和前任公司员工透露，雅虎投资各种防御措施的速度不及谷歌。Marissa Mayer在2012年年中加入境况艰难的雅虎，成为其首席执行官时，安全是摆在她面前的众多问题中的一个。雅虎的员工称，面对大量相互冲突的重要事务，Mayer强调的是为雅虎邮箱等服务打造更干净的页面和开发新产品，而不是进行安全改善。雅虎的安全团队在内部被称为“妄想狂”。他们常因安全成本与公司其他部门发生冲突。他们的要求也常被否决，因为担心增添的保护带来的不便会使人们停止使用该公司的产品。该公司上周透露，在事发两年后才被发现的一次入侵中，黑客窃取了5亿用户的个人信息。

上个月，一位黑客在网上出售至少2亿雅虎用户信息，雅虎随后展开的调查证实至少有5亿用户的帐户被盗。雅虎首席信息安全官 Bob Lord在官方博客上称，对其网络的攻击发生在2014年，攻击者据信有国家支持。失窃的信息包括了用户名、电子邮件地址、电话号码、出生日期、哈希密码（绝大多数使用bcrypt加密）、部分加密或未加密的安全问题和答案。调查显示，未保护的密码、银行卡数据等没有储存在黑客入侵的系统中。雅虎正与执法部门紧密合作调查此次黑客入侵。雅虎称它正向受影响的用户发送通知，提醒用户修改密码，并建议2014年后未修改密码的用户尽快修改密码。