Yahoo warns anew of email account breach, blames state-sponsored 'forged cookies'
5億用戶信息被竊,雅虎為輕視安全付出代價
NICOLE PERLROTH, VINDU GOEL 2016年9月29日
http://cn.nytimes.com/business/20160929/yahoo-data-breach-hacking/zh-hant/
舊金山——六年前,雅虎(Yahoo)的計算機系統和客戶電子郵件賬戶遭到中國軍方黑客侵入。谷歌(Google)和另外幾家科技公司也未能倖免。
谷歌的聯合創始人謝爾蓋·布林(Sergey Brin)認為公司系統遭受的攻擊是對其個人的侮辱。作為回應,他把安全定為公司的首要任務。谷歌用六位數的簽約獎金招募了數以百計的安全工程師,在安全基礎設施上投資數億美元,還提出了一條新的內部格言「Never Again」(不可再),以示其永遠不會再允許任何人——不管是間諜還是犯罪分子——侵入谷歌客戶的賬戶。
然而,據多名參加過安全討論但只同意匿名介紹情況的現任和前任公司員工透露,雅虎投資各種防禦措施的速度不及谷歌。這些措施對抵禦老練的黑客必不可少,在矽谷現已被視為標準。
瑪麗莎·梅耶爾(Marissa Mayer)在2012年年中加入境況艱難的雅虎,成為其首席執行官時,安全是擺在她面前的眾多問題中的一個。雅虎的員工稱,面對大量相互衝突的重要事務,梅耶爾強調的是為雅虎郵箱(Yahoo Mail)等服務打造更乾淨的頁面和開發新產品,而不是進行安全改善。
雅虎的安全團隊在內部被稱為「妄想狂」。他們常因安全成本與公司其他部門發生衝突。他們的要求也常被否決,因為擔心增添的保護帶來的不便會使人們停止使用該公司的產品。
但雅虎的選擇是有代價的,在過去4年間引發了一系列尷尬的安全事故。該公司上週透露,在事發兩年後才被發現的一次入侵中,黑客竊取了5億用戶的個人信息,它認為這些黑客得到了一個外國政府的資助,但未指出是哪個國家。這是已知的對單個企業計算機網路的最大規模入侵,雅虎和聯邦調查局(Federal Bureau of Investigation)目前正調查此事。
當然,許多大公司近年來都在應對網路攻擊方面遇到困難。但雅虎在安全方面付出的努力似乎還很不夠,跟那些銀行以及其他大型科技公司相比尤為明顯。
為了讓計算機系統更加安全,企業通常必須把自己產品的速度變得更慢,更不便於使用。而雅虎的領導層常常不願意做出這樣的取捨。
雅虎的發言人蘇珊娜·菲林(Suzanne Philip)為其安全工作辯護時說,公司於2014年初在加密技術上投入了1000萬美元,而且從2015年到2016年,它對安全方案的投資會增長60%。
「在雅虎,我們對用戶面臨的威脅有著深入的了解,一直竭力跑在這些威脅前面,確保我們的用戶和我們的平台安全無虞,」她說。
於上週披露的這次入侵,是梅耶爾遭受的最新一次重大打擊。此前,她扭轉業績頹勢的努力宣告失敗,致使雅虎在7月份同意將核心業務以48億美元的價格出售給威瑞森電信(Verizon)。目前尚不清楚此事是否會影響這筆交易。儘管電郵用戶是雅虎最忠實、最活躍的用戶,但該公司的電郵市場份額多年來一直在下降。
「雅虎的日子已經很不好過了。我並不認為他們的日子會因為這件事而變得更不好過,」市場調研公司Gartner的安全分析師阿維瓦·利坦(Avivah Litan)說。
梅耶爾是在雅虎遭中國軍方黑客入侵約兩年後入職的。谷歌當初公開做出了回應,而雅虎從未公開承認自己遭到了攻擊。
國家安全局(National Security Agency)前承包商僱員愛德華·J·史諾登(Edward J. Snowden)在2013年披露的信息顯示,雅虎常常成為各國政府間諜的目標。然而,從史諾登最初披露信息時算起,直到一年後,雅虎才新聘用了一名首席信息安全官——亞歷克斯·斯塔莫斯(Alex Stamos)。
雅虎電郵及通訊產品高級副總裁傑夫·邦弗特(Jeff Bonforte)去年12月接受採訪時說,斯塔莫斯及其團隊曾敦促雅虎對所有產品都採用點對點加密技術。採用這種技術意味著只有對話各方能夠看到談話內容,就連雅虎也無法讀取。
邦弗特說自己之所以抵制這一要求,是因為它會損害雅虎將通訊數據編入索引以及進行數據檢索,進而為用戶提供新服務的能力。「建起一棟公寓樓,卻要給每扇窗戶都安上最大的窗柵,我對此不是太感興趣,」他說。
斯塔莫斯以推動採用隱私保護和反監控措施聞名。雅虎在2014年聘用斯塔莫斯,這曾被信息安全界廣泛視為它將優先考慮用戶隱私和安全的信號。
現在和以前的一些僱員都表示,他曾激勵一小群年輕工程師開發更安全的代碼,改善公司的防禦能力——包括對雅虎數據中心之間的數據傳輸進行加密——追蹤犯罪活動,並在分享網路威脅信息方面與其他公司成功合作。
他還曾派遣由員工組成的「紅隊」(red team)入侵雅虎系統,讓他們報告自己的發現。在蘋果(Apple)和谷歌等競爭對手那裡,雅虎安全團隊「妄想狂」憑藉其對安全合作項目的熱忱和貢獻而聲名鵲起——其中一個項目是由雅虎、Dropbox、Facebook、Pinterest等公司共同創辦的網路威脅信息分享平台Threat Exchange。
不過,現在和以前的一些僱員都表示,到了需要投入大量資金完善雅虎安全框架的關頭,梅耶爾曾多次和斯塔莫斯發生衝突。她拒絕為雅虎的安全團隊提供資金,還推遲了採用主動安全防禦措施的日程,其中包括用於雅虎產品系統的入侵檢測機制。僱員稱,過去幾年間,「妄想狂」的成員常常被蘋果、Facebook、谷歌等競爭對手挖走。
已於去年從雅虎跳槽到Facebook的斯塔莫斯拒絕置評。但他在雅虎任職期間,梅耶爾還拒絕了一項最基本的安全措施:自動重置所有用戶的密碼。安全專家認為這一措施是遭到入侵以後的標準回應。僱員稱,梅耶爾的團隊之所以拒絕該措施,是因為擔心就連改密碼這樣簡單的小事,也會促使日益減少的雅虎電郵用戶轉而使用其他公司的產品。
The theft appears to be the world's biggest known cyber breach by far: http://reut.rs/2cVnyEr
DEVELOPING: Yahoo says information from at least 500 million accounts was stolen in 2014.
雅虎證實5億用戶信息遭竊
作者 法廣 發表時間22-09-2016 更改時間22-09-2016
路透社 美國網絡巨頭雅虎(Yahoo)公司22日證實,2014年公司網絡遭到黑客攻擊,至少5億用戶的個人信息遭竊,而且是來自“國家支持的黑客”。公司希望用戶不要隨意下載或點擊鏈接。沒有更新郵件密碼的顧客也要及時更新。
根據雅虎公司22日聲明,被竊取的賬戶信息包括姓名、電子郵件地址、電話號碼、出生日期,密碼等,但可能不包括支付卡資料、銀行賬戶資訊或未受保護的密碼。
雅虎在聲明中說:“公司正在密切與執法部門合作,目前在來自國家支持的黑客對科技業進行的網絡攻擊已越來越普遍。”另外,雅虎公司表示,已持續通知個人信息被盜的客戶以及他們的賬戶已受到保護。
雅虎還建議說,如果大家從2014年來沒有換過郵箱密碼,盡快更新郵箱密碼。雅虎還提醒說,要確保沒有過任何可疑活動。雅虎還表示,客戶不要隨意點擊鏈接,也不要打開附件。
雅虎證實黑客竊取信息的時間點甚為敏感,美國威瑞森通訊今年7月以48億3000萬美元收購雅虎公司的核心網絡事業,包括雅虎搜索引擎以及電子信箱。雅虎現任執行長瑪麗莎.梅耶爾(Marissa Mayer)正努力在明年初完成這項交易。
兩個月前雅虎表示要調查賬戶被黑的事件,當時有自稱“Peace”的黑客在網絡黑市出售2億雅虎用戶的個人信息,而且有些信息最早來自2012年。
不過值得注意的是,根據技術網站Motherboard取得的數據樣本,被盜的很多個人信息來自不再使用或被取消的賬戶。另外,根據該次黑客出售的售價不到2千美元來看,那些數據應該也是沒有價值的信息。
近幾年猖獗的黑客攻擊除了對大型企業造成極大的困擾,更危險的是在大企業尚未察覺前,黑客利用竊取的大批數據從事犯罪。
LinkedIn今年5月表示,由於有黑客試圖出售高達1.17億個登錄賬號,因此展開調查2012年被竊取的600萬客戶密碼,其損害範圍是否遠大於該公司原先認為的被竊取數量。
沒有留言:
張貼留言