当地时间9月22日,雅虎公司对外发布消息,承认在2014年的一次黑客袭击中,至少5亿用户的数据信息遭窃。此次事件成为了有史以来规模最大的单一网站信息泄露事件,一经爆出立刻引发轩然大波。
除了被盗用户信息的规模之外,雅虎直到现在才承认该事件,其“拖拉”背后的原因也让人产生怀疑,考虑到雅虎已经将核心业务出售给了美国电信巨头Verizon,推迟公布究竟是为了方便“卖身”还是有其他的情非得已?
雅虎公司在tumblr上发表的官方声明
根据雅虎公司的官方声明,雅虎公司用户信息被盗发生于2014年底,被盗信息内容包括用户名、邮箱地址、电话号码、生日、哈希密码(备注:对口令进行一次性的加密处理而形成的杂乱字符串,这个加密的过程被认为是不可逆的)以及部分用户部分客户加密或未加密安全识别的问题和答案。此外,雅虎公司还宣称,盗窃信息的是由政府资助的黑客。
“调查认为,被盗信息中并没有包含未经保护的密码、支付卡信息或者银行账户信息,目前也没有证据显示作案的黑客还存在于雅虎的网络中。”雅虎公司在声明中称。
此外,雅虎还表示,已经通知了所有受该被盗案件波及的用户,并要求可能受到影响的用户们立刻更改账户密码,并采用其他的认证方式来验证账户。
“我们建议所有自2014年起从未更改过密码的用户都采取这一行动。”雅虎在声明中称。
尽管信息被盗发生在2014年,但雅虎直到现在才公开承认该事件,这种拖延程度引起了不少媒体和行业相关人士的注意。难道雅虎是直到最近才发现信息被盗的吗?
美国《华尔街日报》披露的消息认为,雅虎知道用户信息被盗的时间应该不会太晚,该报称,今年8月,曾有一位名叫“Peace”的黑客在网上论坛上要价1,900美元出售2亿雅虎用户的用户名和密码。Peace之前曾出售过从Myspace和领英(LinkedIn Corp., LNKD)盗窃的数据。雅虎发言人当时说,该公司知晓这件事,并在调查事情的真伪。
“为什么要雅虎承认被黑、确认被盗信息的规模花了这么久的时间?为什么雅虎在这么久之后才将这件事告知用户、让他们采取行动保护自己?所谓的由政府资助的黑客,通常的行动都是出于政治目的,而不是为了经济利益。那么为什么有人一而再再而三地在网上出售他人的账户信息?又有什么证据能证明黑客是受人资助的呢?”在雅虎官方声明发布后,英国广播公司(BBC)也在其报道中进行了一连串的发问。
从目前的事态来看,蒙在鼓里的似乎不只是广大用户,还有此前刚刚收购了雅虎核心业务的Verizon。该公司表示,自己也是“两天前”才得知了这一消息,BBC还援引Verizon方面的表态称,目前该公司在这一事件上获得的信息也很“有限”。
Verizon Communications Inc.今年7月同意以48.3亿美元现金收购雅虎的网络资产,结束了雅虎旷日持久的寻求出售流程。
“随着调查继续推进,我们将从Verizon的利益视角进行评估,包括消费者、客户、股东和相关社区的利益视角。”Verizon方面补充道。
“雅虎或将因为这一案件遭遇来自监管层、媒体和公众的严密审查,理应如此。”网络安全公司Covata的副总裁尼基·帕克(Nikki Parker)表示,“企业不可能对数据遭窃遮遮掩掩,他们必须要坦白,并表现出将致力于解决问题的态度。”
“我希望雅虎和Verizon合同上的墨水已经干了。”帕克补充道。
“一个2014年发生的信息泄露事件,居然这么久都不被察觉,这一点真的很让人担忧,同样令人吃惊的是,这份公开声明来得也如此之晚。”萨里大学教授艾伦·伍德沃德(Alan Woodward) 称,“我认为大多数公司早已认识到,在这方面,信息披露得越早其实越好,就算之后需要随着事件的进展更正公开的信息,也还是宜早不宜迟。”
不过,也有分析认为,雅虎此举或“另有隐情”,据路透社援引三位不具名美国情报官员的消息称,他们认为这起信息被盗案很有可能是政府资助行为,因为案件与此前的一些类似案件具有很高的相似性。
截至目前,已有多家企业宣称自己遭遇过黑客袭击,并因此导致用户信息泄露。近段时间,与雅虎“同病相怜”的就有MySpace、领英与Adobe三家公司,他们信息泄露的用户规模分别是3.59亿、1.64亿与1.52亿。
