雅虎10亿用户数据泄密“隐瞒”3年遭披露，涉及政府及军方

时间 2019-11-13

标签雅虎用户数据泄密隐瞒 3年披露涉及军方繁體版

原文原文链接

为什么3年前就失窃的数据如今才披露？数据涉及10亿用户，包括政府和军方，雅虎要怎么解决？这个事件对于雅虎，美国政府，用户有多大影响？安全

雅虎首席信息安全官鲍勃·洛德在公司网站上发布的“关于雅虎用户的重要安全信息”显示：网络

此次信息失窃事件发生在2013年8月,未经受权的第三方盗取超过10亿用户帐户信息。雅虎“没法辨认与此次失窃有关的帐户侵入”。网站

洛德还说：加密

失窃的用户信息可能包括姓名、电子邮件地址、电话号码、生日等,一些状况下还包括加密或未加密的安全提示问题及答案。调查显示失窃信息不包括登陆密码、支付卡数据和银行帐户信息,它们并不储存在遭入侵的雅虎系统里。spa

咱们注意到，在洛德的声明里，这批数据泄露时间是2013年，那么三年前雅虎是否知道这批数据的泄露呢？事件

雅虎称“没法辨认与此次失窃有关的帐户侵入”，也就是说，雅虎之因此“隐瞒”消息3年，多是雅虎3年前就知道数据泄露，但到如今都还没法破解黑客如何盗取的数据，或者从被黑客盗取数据到如今，雅虎也才刚发现，因此被黑客“隐瞒”了3年。不管是主动仍是被动，“隐瞒”的根本缘由都是雅虎压根不注重用户的信息安全！并且这种不重视也体如今它对事件的解决上。资源

咱们再看洛德声明的剩下部分：开发

雅虎与外部司法鉴定专家正在调查伪造的网络跟踪软件是如何创制的，这类记录上网用户信息的软件可能使入侵者在没有登陆密码的状况下进入用户帐户。根据调查发现，雅虎认为：有未经受权的第三方获取了雅虎的专利代码，从而知道如何伪造网络跟踪软件。it

咱们知道，泄密途径大体能够分为三种，一种是终端泄密，相似经过钓鱼网站等侵入用户系统的泄密，一种是传输途中的泄密，黑客经过半路截取的方式得到信息，还有一种就是从数据源的泄密，也就是雅虎遇到的这种。黑客获取了核心代码，意味着为整个雅虎的系统都埋下了一枚炸弹！登录

那么雅虎怎么解决呢？雅虎表示：

经过外部司法鉴定专家已经确认的受影响用户，雅虎已经通知了受影响帐户持有人，不排除迫使这些用户重置帐户密。同时，雅虎也在网站上发布安全上网建议，包括更改使用与雅虎帐户类似信息的其余任何帐户的登陆密码和安全提示问题及其答案，谨慎对待任何寻求用户我的信息的不明来源电子通讯，不要打开可疑邮件中的连接和附件等。

咱们能够看到，雅虎的措施都是针对终端及传输这个层面的方案。在自身问题上，雅虎虽然表示会使伪造的网络跟踪软件、未加密安全提示问题及其答案失效，可是关于如何解决核心代码被获取这个根源问题，雅虎只字未提！

这次泄密事件使雅虎处于舆论风口浪尖，也完全暴露的雅虎的底牌。让雅虎从一家互联网巨头逐渐没落的元凶正是它们对技术的不重视。脱胎于高科技企业的雅虎，靠软件开发安身立命，却坚称本身为媒体企业，只是由于它不是靠卖软件或服务而是靠卖广告盈利。

可是，两次重大用户数据的泄密，已经使用户对雅虎失去了信心，而强制用户重置密码一般会致使一些服务被用户放弃，这也是为何最近会对Verizon收购雅虎核心资产的交易会更大破坏性的缘由。雅虎不但面临着美国联邦调查人员和立法者的新一轮审查。并且也影响到了威瑞森通讯公司（Verizon）对它的收购计划。

有知情人士称，Verizon可能继续推动交易，但但愿雅虎为最近的黑客事件做出“重大让步”。如若否则，这家美国第一大移动运营商可能会考虑下调收购价格或完全退出这笔48.3亿美圆的交易。

此次泄密事件再次使美国政府的安全问题面临挑战。3个月前的5亿用户数据泄密事件中，雅虎调查称涉案件黑客受到国家赞助，且尚不能断定赞助来自哪个国家。两次泄密的信息都包括了用户姓名、密码、电话号码、出生日期等，重要信息的泄露将致使外国情报部门轻松识别政府雇员的身份。

以前，为了不他们的电子邮件被锁定，这些雇员已经将官方的政府账号提供给雅虎。此类政府账号属于白宫现有员工和前员工、美国议员及其助手、FBI特工、国家安全局、中央情报局、国家情报主任办公室以及美国军方每一个部门的官员。此外还包括FBI分支主管和美国派驻海外的特工；巴基斯坦、叙利亚和南非的现任和前任外交官；NSA米德堡总部网络管理员；空军情报部门主管以及CIA人力资源部门主管等。

对于普通用户的影响有多大呢？

谷歌前首席技术官Shuman Ghosemajumder说，一般来说，攻击案件中泄露的帐户，有0.1%—2%的正确登陆其余网站的几率。如以前的案件，过1亿的LinkedIn成员泄露密码泄露后，Facebook创始人马克·扎克伯格的Twitter帐户被黑。只2013年到2014年间，雅虎已知被黑客攻击泄密的用户已达15亿人次，按上面的几率来看，可能已被盗取的其它网站用户数据多达3千万人！

对用户信息安全的不重视，酿成了此次最大信息被窃案的惨剧。而雅虎若是仍是这个解决问题的态度，此次披露依然不是最后一次。不管Verizon的收购计划是否成功，咱们都再难看到它的将来。除此以外，还对上千万用户将在其余网站帐户安全形成威胁，也使美国政府面临新的安全挑战。影响到底还有多大，事件还在持续发酵，咱们不防静观其变。