中國日報網9月23日電(涂恬)當地時間9月22日,雅虎公司對外發布消息,承認在2014年的一次黑客襲擊中,至少5億用戶的數據信息遭竊。此次事件成為了有史以來規模最大的單一網站信息泄露事件,一經爆出立刻引發軒然大波。
除了被盜用戶信息的規模之外,雅虎直到現在才承認該事件,其“拖拉”背后的原因也讓人產生懷疑,考慮到雅虎已經將核心業務出售給了美國電信巨頭Verizon,推遲公布究竟是為了方便“賣身”還是有其他的情非得已?
雅虎公司在tumblr上發表的官方聲明
根據雅虎公司的官方聲明,雅虎公司用戶信息被盜發生于2014年底,被盜信息內容包括用戶名、郵箱地址、電話號碼、生日、哈希密碼(備注:對口令進行一次性的加密處理而形成的雜亂字符串,這個加密的過程被認為是不可逆的)以及部分用戶部分客戶加密或未加密安全識別的問題和答案。此外,雅虎公司還宣稱,盜竊信息的是由政府資助的黑客。
“調查認為,被盜信息中并沒有包含未經保護的密碼、支付卡信息或者銀行賬戶信息,目前也沒有證據顯示作案的黑客還存在于雅虎的網絡中。”雅虎公司在聲明中稱。
此外,雅虎還表示,已經通知了所有受該被盜案件波及的用戶,并要求可能受到影響的用戶們立刻更改賬戶密碼,并采用其他的認證方式來驗證賬戶。
“我們建議所有自2014年起從未更改過密碼的用戶都采取這一行動。”雅虎在聲明中稱。
盡管信息被盜發生在2014年,但雅虎直到現在才公開承認該事件,這種拖延程度引起了不少媒體和行業相關人士的注意。難道雅虎是直到最近才發現信息被盜的嗎?
美國《華爾街日報》披露的消息認為,雅虎知道用戶信息被盜的時間應該不會太晚,該報稱,今年8月,曾有一位名叫“Peace”的黑客在網上論壇上要價1,900美元出售2億雅虎用戶的用戶名和密碼。Peace之前曾出售過從Myspace和領英(LinkedIn Corp., LNKD)盜竊的數據。雅虎發言人當時說,該公司知曉這件事,并在調查事情的真偽。
“為什么要雅虎承認被黑、確認被盜信息的規模花了這么久的時間?為什么雅虎在這么久之后才將這件事告知用戶、讓他們采取行動保護自己?所謂的由政府資助的黑客,通常的行動都是出于政治目的,而不是為了經濟利益。那么為什么有人一而再再而三地在網上出售他人的賬戶信息?又有什么證據能證明黑客是受人資助的呢?”在雅虎官方聲明發布后,英國廣播公司(BBC)也在其報道中進行了一連串的發問。
從目前的事態來看,蒙在鼓里的似乎不只是廣大用戶,還有此前剛剛收購了雅虎核心業務的Verizon。該公司表示,自己也是“兩天前”才得知了這一消息,BBC還援引Verizon方面的表態稱,目前該公司在這一事件上獲得的信息也很“有限”。
Verizon Communications Inc.今年7月同意以48.3億美元現金收購雅虎的網絡資產,結束了雅虎曠日持久的尋求出售流程。
“隨著調查繼續推進,我們將從Verizon的利益視角進行評估,包括消費者、客戶、股東和相關社區的利益視角。”Verizon方面補充道。
“雅虎或將因為這一案件遭遇來自監管層、媒體和公眾的嚴密審查,理應如此。”網絡安全公司Covata的副總裁尼基·帕克(Nikki Parker)表示,“企業不可能對數據遭竊遮遮掩掩,他們必須要坦白,并表現出將致力于解決問題的態度。”
“我希望雅虎和Verizon合同上的墨水已經干了。”帕克補充道。
“一個2014年發生的信息泄露事件,居然這么久都不被察覺,這一點真的很讓人擔憂,同樣令人吃驚的是,這份公開聲明來得也如此之晚。”薩里大學教授艾倫·伍德沃德(Alan Woodward) 稱,“我認為大多數公司早已認識到,在這方面,信息披露得越早其實越好,就算之后需要隨著事件的進展更正公開的信息,也還是宜早不宜遲。”
不過,也有分析認為,雅虎此舉或“另有隱情”,據路透社援引三位不具名美國情報官員的消息稱,他們認為這起信息被盜案很有可能是政府資助行為,因為案件與此前的一些類似案件具有很高的相似性。
截至目前,已有多家企業宣稱自己遭遇過黑客襲擊,并因此導致用戶信息泄露。近段時間,與雅虎“同病相憐”的就有MySpace、領英與Adobe三家公司,他們信息泄露的用戶規模分別是3.59億、1.64億與1.52億。
(編輯:田曉璇)
