9月22日,即将谢幕的美国互联网公司雅虎证实,至少5亿用户的账户信息在2014年遭黑客盗取,这创造了史上最大单一网站信息遭窃的纪录,也让正在出售核心业务的雅虎再受重创。
雅虎在一份声明中表示,受影响用户的姓名、邮箱地址、电话号码、出生日期、密码以及部分取回密码时的安全问题,都遭到了泄露。雅虎相信,盗取信息的黑客是“受到国家支持的”,但没有具体点名哪个国家。
雅虎表示,公司会以电邮方式知会受影响客户,并采取措施保障用户,包括使非加密安全问题与答案失效等举措,确保受影响帐户的安全。公司正与执法部门协作,同时敦促用户修改密码。雅虎还建议用户检查其他网络账号,看有没有可疑行为,将那些账号密码和安全问题也进行修改,并警惕可疑邮件。但公司相信,用户未受保护密码、支付卡数据或银行帐户资料没有被盗取。
今年7月,美国电信运营商Verizon与雅虎达成协议,以48.3亿美元的价格收购后者包括雅虎搜寻引擎和电子信箱在内的核心网络业务。Verizon表示,已获悉事件,正评估事态。目前尚不清楚此次事件是否会对雅虎的售价造成影响。
今年8月,一位名叫Peace的黑客在网络论坛公然索价3个比特币(约1860美元),出售2亿雅虎用户的用户名和密码。雅虎当时表示,公司通过调查无法证实被盗数据始于雅虎网站。但在调查其安全系统的过程中,雅虎意外地发现了此次数据被盗案。随着调查深入,被盗取资料账户数量增至5亿。Peace之前曾出售过从MySpace和LinkedIn盗窃的数据。
安全专家已经开始对此次事件的影响后果进行警示。《纽约时报》援引安全专家Alex Holden表示:“被盗的雅虎数据至关重要,因为它不仅关联到一个单独的系统,还关联到他们的银行、社交媒体信息、其他金融服务以及用户的亲人、朋友。这是对人们隐私最大规模的一次盗取,且影响深远。”
早在2012年,雅虎的数据库中就有超过10亿用户的账户信息。《华尔街日报》援引知情人士称,当时用户的密码是用一种叫做MD5的加密算法来进行保护的,但这种算法目前已经可以用最新的解密技术来破解了。
往回追溯,我们会发现,雅虎一直以来都是信息泄露的大户。
2012年,雅虎就曾遭遇过一次信息泄露,事件导致黑客团体成功下载了45.3万份未加密的用户名和密码。
去年,雅虎在怀疑一个政府支持的黑客正对其一个账号进行攻击后,发起了一个项目专门用来检测和通知用户安全状况。不包括正在进行中的此次事故调查,约有1万用户已经因此类攻击被通知。
受事件影响,雅虎股票午盘下跌0.3%至44.02美元,Verizon股价反而上升1%至52.39美元。
不论雅虎的用户数据泄露是发生在2年前还是4年前,雅虎公司的漏洞都存在很久了,黑客选择8月公开只不过是为了在Verizon公司正式接管雅虎公司之前将这些账户资料变现。
雅虎邮箱是世界最早提供邮件服务的互联网公司之一,1996年开始就提供服务,故而成为很多早期互联网用户的常用邮箱。雅虎公司目前仍拥有2.25亿的月活跃邮箱用户——这是在雅虎公司与Verizon公司的交易中公开的数据。雅虎承认泄露的用户数据有5亿之多,很可能包括活跃邮箱用户和不活跃的用户在内。 不过即使有人停用了邮箱,包括姓名、电话号码和生日,以及密码都可以被用来对比其他网站泄露的信息,或者被用来撞库,也就是黑客尝试用泄露的邮箱和密码组合登录其他网站。
让大家吃惊的不仅仅是5亿个被泄露的账户信息数量,而是在今年8月黑客尝试出售这些数据之前,雅虎公司受到黑客攻击的信息才浮出水面。在长达两年的时间内,雅虎是不知道用户信息泄露,还是有意隐瞒呢?在这段时间内,如果有的雅虎用户遭到金钱上的损失,这又如何追究责任呢?只不过这部分的责任很难举证,目前也不知道这次大规模的信息泄露是否会影响雅虎公司出售互联网核心业务的过程和估值。
黑客的活跃和盗窃各个网站的用户信息正成为科技公司日益头痛的事情,今年包括Facebook CEO扎克伯格在内的多名各界知名人士的Twitter账户被入侵,据说就是LinkedIn账户泄露事件导致的,因为扎克伯格在LinkedIn和Twitter使用了相同的密码。
其实很多用户也在不同网站使用相同密码,如果一家网站的信息泄露,往往其他网站的账户也会被攻破。而在不知道的地下交易市场,还不知道有多少网站的信息在被交易,对于普通用户来说,现在是在不同网站尝试不同的复杂密码组合,来降低黑客攻破网站损失的时候了。