美国证监会11月披露的雅虎(Yahoo)遭黑客入侵事件,12月14日终于被雅虎官方证实。此案件发生于2013年,超过10亿个账户资料遭窃,成为史上规模最大的黑客入侵案。消息一传出,不仅再度重创用户信心,也为原定明年初成交的威瑞森(Verizon)与雅虎并购案再添变数。
这是短短3个月时间中,雅虎第二次证实遭黑客入侵。今年9月,雅虎承认在2014年的一次黑客攻击下,至少有5亿用户的数据被窃。
结果在案件调查过程中,证监会发现在2013年8月,还有另一起黑客入侵案,且受影响账户达到10亿个。此次的最新声明中,雅虎表示虽然不排除两起黑客事件有关连,且都由“国家赞助”,但他们认为此次事件可能不同于2014年的案例。与上次一样,雅虎同样未披露哪个国家嫌疑最大。
雅虎的首席资讯安全官员 Bob Lord 表示,此次入侵可能与该公司的“专用代码”被盗有关,并指黑客使用伪造的 cookies 密码(此密码储存于浏览器缓存区,让用户毋须在每次浏览网页时都得登入),因而得以假冒账户所有者,不需密码就能进入账户。
雅虎确认指,2013年这次被盗的用户资料包括姓名、电邮、电话号码、出生日期、验证用户的安全问题与答案等,但不包括信用卡及银行账户资料,并且表示公司已和执法当局密切合作,也强制要求受影响用户更换新密码。
消息传出后雅虎股价应声下跌2.5%。许多媒体及评论也指,此次曝光将使美国电信巨擘威瑞森(Verizon)原定以48.3亿美元收购雅虎的计划再生变数。威瑞森在10月13日、即第一起黑客丑闻曝光后便曾表态,“黑客门”可能给雅虎带来“实质冲击”,从而影响其收购意愿。这项交易原先预计于2017年年初完成,对此,威瑞森在最新声明中表示,将会评估有关情况再作结论。
多年来我一直催促亲友不要再用雅虎的电邮,主要是因为就我多年观察,该公司显然在阻止垃圾邮件及其他电邮攻击方面,远远落后于其行业对手。
BBC 北美科技记者 Dave Lee 认为,当用户对雅虎丧失信心、纷纷舍弃雅虎时,也会影响当初看上雅虎的用户基础及广告触及量的威瑞森。
但无论是否影响威瑞森收购案,接二连三的账户被窃事件无疑已重挫雅虎的声誉及民众的信心。许多网友皆抱怨3年前的黑客攻击怎会到如今才发现。BBC也指出,这显示曾经在互连网热潮中辉煌一时的雅虎在应对网络攻击上的能力远远落后于Google、Facebook 等后来者,而此次事件使得雅虎更加难堪。
声音
应该有法律规定公司得在指定天数内通知用户资料被窃的消息。账户在3年前被窃却到现在才通知用户,雅虎实在是太无能了。
我会认为重大的资料遭窃案可能发生在两三年前的任何公司身上,这事难免会发生。但部分有关雅虎的细节却也指出,该公司内部存在混乱、挫折感,而且对资讯安全团队没有太多的支持。