美國證監會11月披露的雅虎(Yahoo)遭黑客入侵事件,12月14日終於被雅虎官方證實。此案件發生於2013年,超過10億個賬戶資料遭竊,成為史上規模最大的黑客入侵案。消息一傳出,不僅再度重創用戶信心,也為原定明年初成交的威訊(Verizon)與雅虎併購案再添變數。
這是短短3個月時間中,雅虎第二次證實遭黑客入侵。今年9月,雅虎承認在2014年的一次黑客攻擊下,至少有5億用戶的數據被竊。
結果在案件調查過程中,證監會發現在2013年8月,還有另一起黑客入侵案,且受影響賬戶達到10億個。此次的最新聲明中,雅虎表示雖然不排除兩起黑客事件有關連,且都由「國家贊助」,但他們認為此次事件可能不同於2014年的案例。與上次一樣,雅虎同樣未披露哪個國家嫌疑最大。
雅虎的首席資訊安全官員 Bob Lord 表示,此次入侵可能與該公司的「專用代碼」被盜有關,並指黑客使用偽造的 cookies 密碼(此密碼儲存於瀏覽器緩存區,讓用戶毋須在每次瀏覽網頁時都得登入),因而得以假冒賬戶所有者,不需密碼就能進入賬戶。
雅虎確認指,2013年這次被盜的用戶資料包括姓名、電郵、電話號碼、出生日期、驗證用戶的安全問題與答案等,但不包括信用卡及銀行賬戶資料,並且表示公司已和執法當局密切合作,也強制要求受影響用戶更換新密碼。
消息傳出後雅虎股價應聲下跌2.5%。許多媒體及評論也指,此次曝光將使美國電信巨擘威訊(Verizon)原定以48.3億美元收購雅虎的計劃再生變數。威訊在10月13日、即第一起黑客醜聞曝光後便曾表態,「黑客門」可能給雅虎帶來「實質衝擊」,從而影響其收購意願。這項交易原先預計於2017年年初完成,對此,威訊在最新聲明中表示,將會評估有關情況再作結論。
多年來我一直催促親友不要再用雅虎的電郵,主要是因為就我多年觀察,該公司顯然在阻止垃圾郵件及其他電郵攻擊方面,遠遠落後於其行業對手。
BBC 北美科技記者 Dave Lee 認為,當用戶對雅虎喪失信心、紛紛捨棄雅虎時,也會影響當初看上雅虎的用戶基礎及廣告觸及量的威訊。
但無論是否影響威訊收購案,接二連三的賬戶被竊事件無疑已重挫雅虎的聲譽及民眾的信心。許多網友皆抱怨3年前的黑客攻擊怎會到如今才發現。BBC也指出,這顯示曾經在互連網熱潮中輝煌一時的雅虎在應對網絡攻擊上的能力遠遠落後於Google、Facebook 等後來者,而此次事件使得雅虎更加難堪。
聲音
應該有法律規定公司得在指定天數內通知用戶資料被竊的消息。賬戶在3年前被竊卻到現在才通知用戶,雅虎實在是太無能了。
我會認為重大的資料遭竊案可能發生在兩三年前的任何公司身上,這事難免會發生。但部分有關雅虎的細節卻也指出,該公司內部存在混亂、挫折感,而且對資訊安全團隊沒有太多的支持。