日报

雅虎承认早已获悉用户信息泄露,再陷信息失窃指控

刊登于 2016-11-10

雅虎约2亿用户账号或遭盗窃。图为一个男人走过雅虎标志。
9月22日,雅虎证实在2014年一次黑客攻击中,至少5亿用户的姓名、电邮地址、电话号码、帐号密码等资料被窃。

最新动态

5亿客户数据被窃的风波尚未平息,雅虎又可能面临新的信息安全指控。11月9日,美国证监会披露了关于雅虎的报告,其中除了更新“黑客门”事件的调查进展,还显示雅虎可能正面对新一波黑客入侵,存在用户账号资料被盗的风险。

目前尚不清楚这新一批黑客是否就是此前窃取5亿用户信息那一批。证据显示,入侵者无需输入密码,就可以获取用户的账户信息,这也意味着,即便信息被窃的用户在发现问题后更改了账户密码,依然无济于事。

早在11月7日,执法机关已向雅虎分享了部分由黑客提供、据信是雅虎客户资料的数据,目前雅虎正针对这批资料进行分析和调查。消息人士透露,雅虎认为袭击者无法伪造雅虎邮箱的 cookie。

雅虎发言人拒绝就此事表态,并表示公司刚刚收到相关资料,尚未完成分析。

安全事件的调查仍在进行,我们仍在判断所有事实、评估事件波及范围以及相关政府调查和民事诉讼过程对我们运作的影响的过程中,这可能会是决定性的。

雅虎的声明

证监会的文件也披露了“黑客门”的最新调查进展。此前雅虎曾表示,直到今年8月才首次发现黑客窃取用户资料。不过最新的文件披露,雅虎曾承认早在2014年部分员工就已发现国家级黑客进入公司网络的痕迹。但据知情人士称,由于“国家级黑客袭击的复杂性质”,雅虎当时确实未掌握事情“全景”。雅虎董事会已成立独立委员会,对“2014年公司对事件的了解程度”展开调查。

雅虎坚称用户资料被窃是由于国家支持的黑客袭击,不过信息安全公司 InfoArmor 认为,这些用户数据是由罪犯、而非国家支持的团队窃取。雅虎还透露,除了美国证监会,公司正配合多个政府机构对“黑客门”的调查,包括联邦贸易委员会(FTC)、美国纽约南区联邦地区法院和多个州检察院。

另外,据证监会的文件指出,雅虎也首次承认“黑客门”可能为公司带来“风险因素”,其中的风险和不确定性主要围绕通讯巨头威讯(Verizon)的收购案。雅虎预计,威讯可能寻求终止合约或重新协商条款内容、要求折扣。今年10月,威讯总顾问 Craig Silliman 曾表示,用户信息被窃事件可能给雅虎带来“实质冲击”,从而影响威讯的收购意愿。

尽管雅虎强调信息泄露事件不会给公司带来“实质的负面影响”,但同时坦承事件可能“导致用户和客户减少或停止使用其产品和服务”。截至9月30日,用户信息泄漏事件已给雅虎带来100万美元经济损失。雅虎还面临23宗集体诉讼,雅虎并未对诉讼费用做出相应评估,但可以想像,这笔开支会相当庞大。

9月23日报道:雅虎证实2014年黑客案,至少5亿用户信息被窃

自从今年8月初陷入信息遭窃传闻后,雅虎(Yahoo! Inc.)官方终于在9月22日证实,在2014年的一次黑客攻击下,雅虎至少有5亿用户的数据遭窃,泄露信息包括用户姓名、电邮地址、电话号码、生日和帐号密码,还可能包括未加密的安全提示问题和答案。不过据雅虎称,支付卡数据和银行帐户信息没有被窃。

这次事件被认为是目前为止规模最大的数据泄漏事件。雅虎认为窃取信息事件背后有某个国家的支持,但目前尚无证据证实这一点,雅虎也没有明确指出其怀疑的是哪个国家。

雅虎方表示,正在通知可能受影响的用户,已采取措施,通过使未加密的安全提示问题和答案无效来保护他们的帐号,并提醒所有用户更改密码,包括在2014年之后没有更改过密码的用户,以防万一。如果用户其他网络帐号也是用了与雅虎帐号相同或近似的安全提示问题和答案,雅虎也建议他们一并修改。

被盗的雅虎数据至关重要,因为它不仅关联到一个单独的系统,还关联到他们的银行、社交媒体信息、其他金融服务以及用户的亲人和朋友。

《纽约时报》援引安全专家 Alex Holden

雅虎帐户大规模遭窃的传闻源起于今年8月1日,网名为 Peace_of_Mind(下称 Peace)的黑客曾在暗网(Darknet)交易市场 The Real Deal 出售据称是2亿个被窃取的雅虎用户帐号资料,售价为3个比特币(约合1800美元)。Peace 同时也是今年5月挂牌出售1.17亿个 LinkedIn 帐户信息和3.6亿封 MySpace 邮件的黑客。此外,他还曾出售过其它在线服务如 Fling.com 和 Linux Mint 论坛的数据。

刚于今年7月25日斥资48.3亿美元收购了雅虎的运营业务的美国通讯巨头威讯(Verizon)在9月22日表示,公司在两天前才获悉这次安全事故,目前掌握的信息有限,尚在了解事件影响。威讯表示,随着调查继续推进,“将从威讯的利益角度进行评估,包括消费者、客户、股东和相关社区的利益”。

事实上,雅虎也并非首次卷入用户帐号安全事件。早在2012年7月,一个名为 D33Ds Company 的黑客团体就曾宣称成功入侵雅虎用户数据库。该团体公布了45万多份纯文字格式的邮件地址和密码,并附上对雅虎应加强安全防护之警告。

雅虎当时回应称,这45万份用户数据中,只有不到5%的帐号是有效的。但 OneID 公司首席信息安全科学家 Jim Fenton 认为,入侵雅虎的黑客可能只是贴出了一部分“战利品”,其他数据若流入地下黑市,能为其牟取更多利益。

伴随着连番的数据泄漏事件,信息时代的网络安全问题也越来越受到人们关注。就在8月31日,知名网络存储及共享公司 Dropbox 发布消息,证实该网站在2012年遭黑客入侵,超过6800万个用户资料被盗,这比2014年10月时报导的690万多出近10倍。Dropbox 已在8月26日主动发布预防措施,要求受影响用户更新密码。

雅虎

雅虎公司(Yahoo! Inc),是一间资讯技术公司,主要业务为入口网站经营及广告服务,并提供一系列产品包括:搜寻引擎、电子信箱、社交以及新闻聚合等服务。1994年1月,雅虎公司前身为杨致远和大卫·费罗创立的杰瑞戴夫互联网导航(Jerry and Dave's Guide to the World Wide Web),其后更名为雅虎(Yahoo),并在1995年3月2日成立公司,目前总部位于加州森尼韦尔市。Verizon 于2016年7月25日正式以48.3亿美元收购雅虎。(资料来自维基百科)

威讯通信

威讯通信(Verizon Communications)是美国最大的无线通信服务供应商,也是道琼斯30种工业平均指数组成之一。公司总部位于纽约市,主要业务为语音通话、固定宽带和无线通信。威讯通信的前身是“大西洋贝尔”,2000年收购美国当时最大的本地电话交换公司 GTE 后更名。2013年9月2日,威讯曾以1300亿美元向 Vodafone 收购其持有的双方合资无线事业 Verizon Wireless 的45%股权,2015年5月12日,威讯宣布以每股50美元、总额44亿美元收购美国在线(AOL)。(资料来自维基百科)

来源:华尔街日报ForbesThe Street纽约时报金融时报BloombergBusinessInsider

本刊载内容版权为端传媒或相关单位所有,未经端传媒编辑部授权,请勿转载或复制,否则即为侵权。

延伸阅读

黑客公开售卖2亿个疑似被盗雅虎用户帐号

雅虎時代落幕:美国威瑞森确认以48.3亿美元收购雅虎运营业务

Dropbox终于承认6800万用户资料外泄,你中招了吗?

LinkedIn 2012年数据泄露门或波及过亿用户,黑客正出售用户资料