雅虎10亿用户数据泄密“隐瞒”3年遭披露,涉及政府及军方
北京时间12月16日消息,据外媒报道,雅虎周三称:再次发现大量用户信息失窃,源于公司2013年8月遭黑客攻击,涉及10亿个账户,其中包括超过15万政府和军方雇员的信息。消悉传出后,外界一片哗然。这起全球最大信息泄露事件,距离上次雅虎爆出5亿用户数据失窃仅3个月。
为何3年前就失窃的数据现在才披露?数据涉及10亿用户,包括政府和军方,雅虎要怎么解决?这个事件对于雅虎,美国政府,用户有多大影响?
雅虎首席信息安全官鲍勃·洛德在公司网站上发布的“关于雅虎用户的重要安全信息”显示:
这次信息失窃事件发生在2013年8月,未经授权的第三方盗取超过10亿用户账户信息。雅虎“无法辨认与这次失窃有关的账户侵入”。
洛德还说:
失窃的用户信息可能包括姓名、电子邮件地址、电话号码、生日等,一些情况下还包括加密或未加密的安全提示问题及答案。调查显示失窃信息不包括登录密码、支付卡数据和银行账户信息,它们并不储存在遭入侵的雅虎系统里。
我们注意到,在洛德的声明里,这批数据泄露时间是2013年,那么三年前雅虎是否知道这批数据的泄露呢?
雅虎称“无法辨认与这次失窃有关的账户侵入”,也就是说,雅虎之所以“隐瞒”消息3年,可能是雅虎3年前就知道数据泄露,但到现在都还无法破解黑客如何盗取的数据,或者从被黑客盗取数据到现在,雅虎也才刚发现,所以被黑客“隐瞒”了3年。无论是主动还是被动,“隐瞒”的根本原因都是雅虎压根不注重用户的信息安全!而且这种不重视也体现在它对事件的解决上。
我们再看洛德声明的剩下部分:
雅虎与外部司法鉴定专家正在调查伪造的网络跟踪软件是如何创制的,这类记录上网用户信息的软件可能使入侵者在没有登录密码的情况下进入用户账户。根据调查发现,雅虎认为:有未经授权的第三方获取了雅虎的专利代码,从而知道如何伪造网络跟踪软件。
我们知道,泄密途径大致可以分为三种,一种是终端泄密,类似通过钓鱼网站等侵入用户系统的泄密,一种是传输途中的泄密,黑客通过半路截取的方式获得信息,还有一种就是从数据源的泄密,也就是雅虎遇到的这种。黑客获取了核心代码,意味着为整个雅虎的系统都埋下了一枚炸弹!
那么雅虎怎么解决呢?雅虎表示:
通过外部司法鉴定专家已经确认的受影响用户,雅虎已经通知了受影响账户持有人,不排除迫使这些用户重置账户密。同时,雅虎也在网站上发布安全上网建议,包括更改使用与雅虎账户相似信息的其他任何账户的登录密码和安全提示问题及其答案,谨慎对待任何寻求用户个人信息的不明来源电子通信,不要打开可疑邮件中的链接和附件等。
我们可以看到,雅虎的措施都是针对终端及传输这个层面的方案。在自身问题上,雅虎虽然表示会使伪造的网络跟踪软件、未加密安全提示问题及其答案失效,但是关于如何解决核心代码被获取这个根源问题,雅虎只字未提!
此次泄密事件使雅虎处于舆论风口浪尖,也彻底暴露的雅虎的底牌。让雅虎从一家互联网巨头逐渐没落的元凶正是它们对技术的不重视。脱胎于高科技企业的雅虎,靠软件开发安身立命,却坚称自己为媒体企业,只是因为它不是靠卖软件或服务而是靠卖广告盈利。
但是,两次重大用户数据的泄密,已经使用户对雅虎失去了信心,而强制用户重置密码通常会导致一些服务被用户放弃,这也是为什么最近会对Verizon收购雅虎核心资产的交易会更大破坏性的原因。雅虎不但面临着美国联邦调查人员和立法者的新一轮审查。而且也影响到了威瑞森通信公司(Verizon)对它的收购计划。
有知情人士称,Verizon可能继续推进交易,但希望雅虎为最近的黑客事件作出“重大让步”。如若不然,这家美国第一大移动运营商可能会考虑下调收购价格或彻底退出这笔48.3亿美元的交易。
这次泄密事件再次使美国政府的安全问题面临挑战。3个月前的5亿用户数据泄密事件中,雅虎调查称涉案件黑客受到国家赞助,且尚不能判定赞助来自哪一个国家。两次泄密的信息都包括了用户姓名、密码、电话号码、出生日期等,重要信息的泄露将导致外国情报部门轻松识别政府雇员的身份。
之前,为了避免他们的电子邮件被锁定,这些雇员已经将官方的政府帐号提供给雅虎。此类政府帐号属于白宫现有员工和前员工、美国议员及其助手、FBI特工、国家安全局、中央情报局、国家情报主任办公室以及美国军方每个部门的官员。此外还包括FBI分支主管和美国派驻海外的特工;巴基斯坦、叙利亚和南非的现任和前任外交官;NSA米德堡总部网络管理员;空军情报部门主管以及CIA人力资源部门主管等。
对于普通用户的影响有多大呢?
谷歌前首席技术官Shuman Ghosemajumder说,通常来讲,攻击案件中泄露的账户,有0.1%—2%的正确登录其他网站的概率。如之前的案件,过1亿的LinkedIn成员泄露密码泄露后,Facebook创始人马克·扎克伯格的Twitter账户被黑。只2013年到2014年间,雅虎已知被黑客攻击泄密的用户已达15亿人次,按上面的概率来看,可能已被盗取的其它网站用户数据多达3千万人!
对用户信息安全的不重视,酿成了这次最大信息被窃案的惨剧。而雅虎如果还是这个解决问题的态度,这次披露依然不是最后一次。无论Verizon的收购计划是否成功,我们都再难看到它的未来。除此之外,还对上千万用户将在其他网站账户安全造成威胁,也使美国政府面临新的安全挑战。影响到底还有多大,事件还在持续发酵,我们不防静观其变。
©转载请联系本公众号
更多精彩阅读请点击:
IT 战略家
这里不打算迎合任何人的三观
但可以保证提供有深度的思考
把握趋势,洞见未来
长按二维码关注