日報

雅虎承認早已獲悉用戶信息洩露,再陷信息失竊指控

刊登於 2016-11-10

雅虎約2億用戶賬號或遭盜竊。圖為一個男人走過雅虎標誌。
9月22日,雅虎證實在2014年一次黑客攻擊中,至少5億用戶的姓名、電郵地址、電話號碼、帳號密碼等資料被竊。

最新動態

5億客戶數據被竊的風波尚未平息,雅虎又可能面臨新的信息安全指控。11月9日,美國證監會披露了關於雅虎的報告,其中除了更新「黑客門」事件的調查進展,還顯示雅虎可能正面對新一波黑客入侵,存在用戶賬號資料被盜的風險。

目前尚不清楚這新一批黑客是否就是此前竊取5億用戶信息那一批。證據顯示,入侵者無需輸入密碼,就可以獲取用戶的賬戶信息,這也意味着,即便信息被竊的用戶在發現問題後更改了賬戶密碼,依然無濟於事。

早在11月7日,執法機關已向雅虎分享了部分由黑客提供、據信是雅虎客戶資料的數據,目前雅虎正針對這批資料進行分析和調查。消息人士透露,雅虎認為襲擊者無法偽造雅虎郵箱的 cookie。

雅虎發言人拒絕就此事表態,並表示公司剛剛收到相關資料,尚未完成分析。

安全事件的調查仍在進行,我們仍在判斷所有事實、評估事件波及範圍以及相關政府調查和民事訴訟過程對我們運作的影響的過程中,這可能會是決定性的。

雅虎的聲明

證監會的文件也披露了「黑客門」的最新調查進展。此前雅虎曾表示,直到今年8月才首次發現黑客竊取用戶資料。不過最新的文件披露,雅虎曾承認早在2014年部分員工就已發現國家級黑客進入公司網絡的痕跡。但據知情人士稱,由於「國家級黑客襲擊的複雜性質」,雅虎當時確實未掌握事情「全景」。雅虎董事會已成立獨立委員會,對「2014年公司對事件的了解程度」展開調查。

雅虎堅稱用戶資料被竊是由於國家支持的黑客襲擊,不過信息安全公司 InfoArmor 認為,這些用戶數據是由罪犯、而非國家支持的團隊竊取。雅虎還透露,除了美國證監會,公司正配合多個政府機構對「黑客門」的調查,包括聯邦貿易委員會(FTC)、美國紐約南區聯邦地區法院和多個州檢察院。

另外,據證監會的文件指出,雅虎也首次承認「黑客門」可能為公司帶來「風險因素」,其中的風險和不確定性主要圍繞通訊巨頭威訊(Verizon)的收購案。雅虎預計,威訊可能尋求終止合約或重新協商條款內容、要求折扣。今年10月,威訊總顧問 Craig Silliman 曾表示,用戶信息被竊事件可能給雅虎帶來「實質衝擊」,從而影響威訊的收購意願。

儘管雅虎強調信息洩露事件不會給公司帶來「實質的負面影響」,但同時坦承事件可能「導致用戶和客戶減少或停止使用其產品和服務」。截至9月30日,用戶信息洩漏事件已給雅虎帶來100萬美元經濟損失。雅虎還面臨23宗集體訴訟,雅虎並未對訴訟費用做出相應評估,但可以想像,這筆開支會相當龐大。

9月23日報道:雅虎證實2014年黑客案,至少5億用戶信息被竊

自從今年8月初陷入信息被竊傳聞後,雅虎(Yahoo! Inc.)官方終於在9月22日證實,在2014年的一次黑客攻擊下,雅虎至少有5億用戶的數據被竊,洩露信息包括用戶姓名、電郵地址、電話號碼、生日和帳號密碼,還可能包括未加密的安全提示問題和答案。不過據雅虎稱,支付卡數據和銀行帳戶信息沒有被竊。

這次事件被認為是目前為止規模最大的數據洩漏事件。雅虎認為竊取信息事件背後有某個國家的支持,但目前尚無證據證實這一點,雅虎也沒有明確指出其懷疑的是哪個國家。

雅虎方表示,正在通知可能受影響的用戶,已採取措施,通過使未加密的安全提示問題和答案無效來保護他們的帳號,並提醒所有用戶更改密碼,包括在2014年之後沒有更改過密碼的用戶,以防萬一。如果用戶其他網絡帳號也是用了與雅虎帳號相同或近似的安全提示問題和答案,雅虎也建議他們一併修改。

被盜的雅虎數據至關重要,因為它不僅關聯到一個單獨的系統,還關聯到他們的銀行、社交媒體信息、其他金融服務以及用戶的親人和朋友。

《紐約時報》援引安全專家 Alex Holden

雅虎帳戶大規模被竊的傳聞源起於今年8月1日,網名為 Peace_of_Mind(下稱 Peace)的黑客曾在暗網(Darknet)交易市場 The Real Deal 出售據稱是2億個被竊取的雅虎用戶帳號資料,售價為3個比特幣(約合1800美元)。Peace 同時也是今年5月掛牌出售1.17億個 LinkedIn 帳戶信息和3.6億封 MySpace 郵件的黑客。此外,他還曾出售過其它在線服務如 Fling.com 和 Linux Mint 論壇的數據。

剛於今年7月25日斥資48.3億美元收購了雅虎的運營業務的美國通訊巨頭威訊(Verizon)在9月22日表示,公司在兩天前才獲悉這次安全事故,目前掌握的信息有限,尚在了解事件影響。威訊表示,隨着調查繼續推進,「將從威訊的利益角度進行評估,包括消費者、客戶、股東和相關社區的利益」。

事實上,雅虎也並非首次捲入用戶帳號安全事件。早在2012年7月,一個名為 D33Ds Company 的黑客團體就曾宣稱成功入侵雅虎用戶資料庫。該團體公布了45萬多份純文字格式的郵件地址和密碼,並附上對雅虎應加強安全防護之警告。

雅虎當時回應稱,這45萬份用戶數據中,只有不到5%的帳號是有效的。但 OneID 公司首席信息安全科學家 Jim Fenton 認為,入侵雅虎的黑客可能只是貼出了一部分「戰利品」,其他數據若流入地下黑市,能為其牟取更多利益。

伴隨着連番的數據洩漏事件,信息時代的網絡安全問題也越來越受到人們關注。就在8月31日,知名網絡存儲及共享公司 Dropbox 發布消息,證實該網站在2012年遭黑客入侵,超過6800萬個用戶資料被盜,這比2014年10月時報導的690萬多出近10倍。Dropbox 已在8月26日主動發布預防措施,要求受影響用戶更新密碼。

雅虎

雅虎公司(Yahoo! Inc),是一間資訊技術公司,主要業務為入口網站經營及廣告服務,並提供一系列產品包括:搜尋引擎、電子信箱、社交以及新聞聚合等服務。1994年1月,雅虎公司前身為楊致遠和大衛·費羅創立的傑瑞戴夫網際網路導航(Jerry and Dave's Guide to the World Wide Web),其後更名為雅虎(Yahoo),並在1995年3月2日成立公司,目前總部位於加州森尼韋爾市。Verizon 於2016年7月25日正式以48.3億美元收購雅虎。(資料來自維基百科)

威訊通信

威訊通信(Verizon Communications)是美國最大的無線通信服務供應商,也是道瓊斯30種工業平均指數組成之一。公司總部位於紐約市,主要業務為語音通話、固定寬帶和無線通信。威訊通信的前身是「大西洋貝爾」,2000年收購美國當時最大的本地電話交換公司 GTE 後更名。2013年9月2日,威訊曾以1300億美元向 Vodafone 收購其持有的雙方合資無線事業 Verizon Wireless 的45%股權,2015年5月12日,威訊宣布以每股50美元、總額44億美元收購美國在線(AOL)。(資料來自維基百科)

來源:華爾街日報ForbesThe Street紐約時報金融時報BloombergBusinessInsider

本刊載內容版權為端傳媒或相關單位所有,未經端傳媒編輯部授權,請勿轉載或複製,否則即為侵權。

延伸閱讀

黑客公開售賣2億個疑似被盜雅虎用戶帳號

雅虎時代落幕:美國威訊確認以48.3億美元收購雅虎運營業務

Dropbox終於承認6800萬用戶資料外洩,你中招了嗎?

LinkedIn 2012年數據洩露門或波及過億用戶,黑客正出售用戶資料