雅虎10億用戶數據泄密「隱瞞」3年遭披露，涉及政府及軍方

 

爲什麼3年前就失竊的數據如今才披露？數據涉及10億用戶，包括政府和軍方，雅虎要怎麼解決？這個事件對於雅虎，美國政府，用戶有多大影響？

雅虎首席信息安全官鮑勃·洛德在公司網站上發佈的「關於雅虎用戶的重要安全信息」顯示：

此次信息失竊事件發生在2013年8月,未經受權的第三方盜取超過10億用戶帳戶信息。雅虎「沒法辨認與此次失竊有關的帳戶侵入」。

洛德還說：

失竊的用戶信息可能包括姓名、電子郵件地址、電話號碼、生日等,一些狀況下還包括加密或未加密的安全提示問題及答案。調查顯示失竊信息不包括登陸密碼、支付卡數據和銀行帳戶信息,它們並不儲存在遭入侵的雅虎系統裏。

咱們注意到，在洛德的聲明裏，這批數據泄露時間是2013年，那麼三年前雅虎是否知道這批數據的泄露呢？

雅虎稱「沒法辨認與此次失竊有關的帳戶侵入」，也就是說，雅虎之因此「隱瞞」消息3年，多是雅虎3年前就知道數據泄露，但到如今都還沒法破解黑客如何盜取的數據，或者從被黑客盜取數據到如今，雅虎也纔剛發現，因此被黑客「隱瞞」了3年。不管是主動仍是被動，「隱瞞」的根本緣由都是雅虎壓根不注重用戶的信息安全！並且這種不重視也體如今它對事件的解決上。

咱們再看洛德聲明的剩下部分：

雅虎與外部司法鑑定專家正在調查僞造的網絡跟蹤軟件是如何創制的，這類記錄上網用戶信息的軟件可能使入侵者在沒有登陸密碼的狀況下進入用戶帳戶。根據調查發現，雅虎認爲：有未經受權的第三方獲取了雅虎的專利代碼，從而知道如何僞造網絡跟蹤軟件。

咱們知道，泄密途徑大體能夠分爲三種，一種是終端泄密，相似經過釣魚網站等侵入用戶系統的泄密，一種是傳輸途中的泄密，黑客經過半路截取的方式得到信息，還有一種就是從數據源的泄密，也就是雅虎遇到的這種。黑客獲取了核心代碼，意味着爲整個雅虎的系統都埋下了一枚炸彈！

那麼雅虎怎麼解決呢？雅虎表示：

經過外部司法鑑定專家已經確認的受影響用戶，雅虎已經通知了受影響帳戶持有人，不排除迫使這些用戶重置帳戶密。同時，雅虎也在網站上發佈安全上網建議，包括更改使用與雅虎帳戶類似信息的其餘任何帳戶的登陸密碼和安全提示問題及其答案，謹慎對待任何尋求用戶我的信息的不明來源電子通訊，不要打開可疑郵件中的連接和附件等。

咱們能夠看到，雅虎的措施都是針對終端及傳輸這個層面的方案。在自身問題上，雅虎雖然表示會使僞造的網絡跟蹤軟件、未加密安全提示問題及其答案失效，可是關於如何解決核心代碼被獲取這個根源問題，雅虎隻字未提！

這次泄密事件使雅虎處於輿論風口浪尖，也完全暴露的雅虎的底牌。讓雅虎從一家互聯網巨頭逐漸沒落的元兇正是它們對技術的不重視。脫胎於高科技企業的雅虎，靠軟件開發安身立命，卻堅稱本身爲媒體企業，只是由於它不是靠賣軟件或服務而是靠賣廣告盈利。

可是，兩次重大用戶數據的泄密，已經使用戶對雅虎失去了信心，而強制用戶重置密碼一般會致使一些服務被用戶放棄，這也是爲何最近會對Verizon收購雅虎核心資產的交易會更大破壞性的緣由。雅虎不但面臨着美國聯邦調查人員和立法者的新一輪審查。並且也影響到了威瑞森通訊公司（Verizon）對它的收購計劃。

有知情人士稱，Verizon可能繼續推動交易，但但願雅虎爲最近的黑客事件做出「重大讓步」。如若否則，這家美國第一大移動運營商可能會考慮下調收購價格或完全退出這筆48.3億美圓的交易。

此次泄密事件再次使美國政府的安全問題面臨挑戰。3個月前的5億用戶數據泄密事件中，雅虎調查稱涉案件黑客受到國家贊助，且尚不能斷定贊助來自哪個國家。兩次泄密的信息都包括了用戶姓名、密碼、電話號碼、出生日期等，重要信息的泄露將致使外國情報部門輕鬆識別政府僱員的身份。

以前，爲了不他們的電子郵件被鎖定，這些僱員已經將官方的政府賬號提供給雅虎。此類政府賬號屬於白宮現有員工和前員工、美國議員及其助手、FBI特工、國家安全局、中央情報局、國家情報主任辦公室以及美國軍方每一個部門的官員。此外還包括FBI分支主管和美國派駐海外的特工；巴基斯坦、敘利亞和南非的現任和前任外交官；NSA米德堡總部網絡管理員；空軍情報部門主管以及CIA人力資源部門主管等。

 

對於普通用戶的影響有多大呢？

谷歌前首席技術官Shuman Ghosemajumder說，一般來說，攻擊案件中泄露的帳戶，有0.1%—2%的正確登陸其餘網站的機率。如以前的案件，過1億的LinkedIn成員泄露密碼泄露後，Facebook創始人馬克·扎克伯格的Twitter帳戶被黑。只2013年到2014年間，雅虎已知被黑客攻擊泄密的用戶已達15億人次，按上面的機率來看，可能已被盜取的其它網站用戶數據多達3千萬人！

對用戶信息安全的不重視，釀成了此次最大信息被竊案的慘劇。而雅虎若是仍是這個解決問題的態度，此次披露依然不是最後一次。不管Verizon的收購計劃是否成功，咱們都再難看到它的將來。除此以外，還對上千萬用戶將在其餘網站帳戶安全形成威脅，也使美國政府面臨新的安全挑戰。影響到底還有多大，事件還在持續發酵，咱們不防靜觀其變。