雅虎再曝10億用戶賬號遭黑客襲擊

(編譯 Zita) 在今年夏天被揭發曾2014年5億用戶賬號遭到黑客襲擊而名譽掃地的雅虎,近日再次被揭2013年發生的一次黑客襲擊危及10億多雅虎賬號。

新披露的襲擊涉及更多敏感的用戶信息,包括沒有加密的安全問題。雅虎正在讓這些安全問題失效,同時強行要求所有受影響的用戶修改自己的密碼。

雅虎已經同意以48億美元的價格將自己的核心業務出售給為韋里孫通信(Verizon Communications)。在第一次的襲擊信息披露後,韋里孫表示可能要重新協商交易條款。目前還不清楚最新的洩露信息會如何影響該公司對這場交易的看法。

在聯邦當局的協助下,雅虎一直在對2014年的襲擊進行調查,並一點點地將調查結果公開。雅虎表示,它現在認為那次襲擊是由某政府資助的,襲擊者通過造假證明文件,無需密碼便登陸了一些用戶的賬戶。

雅虎首席信息安全官鮑勃·洛德(Bob Lord)在一份聲明中表示,在2014年受政府資助實施襲擊的參與者盜取了雅虎的專有源代碼。與雅虎協作的外部鑑定專家認為,這些由政府資助的黑客利用雅虎的代碼,無需密碼便進入了雅虎用戶的郵箱。其方式是偽造“網絡標記”,即網站在用戶的機器上存儲的小段字節。通過偽造這些網絡標記,襲擊者可以冒充有效用戶獲取信息,還能以這些受害者的身份進行操作。

相比於谷歌(Google)和Facebook等矽谷競爭對手,雅虎最近幾年把安全問題放在了不太重要的位置上。在擬議中的安全措施的成本和給客戶帶來的不便等問題上,雅虎的安全團隊與包括首席執行官瑪麗莎‧梅耶爾(Marissa Mayer)在內的高管產生了分歧。

安全專家也表示,雅虎花那麼長時間才發現披露的這次襲擊,表明這家公司的安全和監控技術不太合格。「最讓人感到不安的是,這次襲擊發生在2013年8月那麼早以前,而且在執法主動介入之前沒人發現任何被襲的跡象」安全公司Synack的首席執行官傑伊·卡普蘭(Jay Kaplan)說「要趕上這些威脅的技術水平,雅虎還有很長的路要走。」

今年7月,雅虎同意以48億美元的價格將自己的核心業務出售給韋里孫通信。韋里孫在今年10月表示,考慮到黑客襲擊因素,它可能要重新協商交易條款。在最初進行交易談判期間,韋里孫沒有被告知雅虎遭黑客入侵的信息。

在這次最新的信息披露之後,韋里孫發言人鮑勃·瓦雷東尼(Bob Varettoni)基本重申了這一立場。「就像我們一直說的,在雅虎繼續展開調查的同時,我們會對情況進行評估」他說, 「在得出最後結論之前,我們會重新審視新進展的影響。」

洛德表示,雅虎已經採取行動,增強跟踪這類襲擊的系統。公司鼓勵用戶修改與其雅虎賬戶有關聯的密碼,以及與雅虎郵箱和賬戶綁定的任何數字賬戶的密碼。雅虎認為是一個「未經許可的第三方」設法盜取了10億雅虎用戶的賬戶信息。洛德稱,雅虎目前還無法確認襲擊者是如何入侵了雅虎的系統,但公司認為這次襲擊發生在2013年8月。

對很多用戶來說,修改雅虎賬號密碼只是個開始。他們還必須徹底檢查其他服務項目,以確保在這些網站上使用的密碼與他們之前在雅虎的密碼不會太接近。如果他們還沒有做到這一點,則必須帶著極大的警覺態度應對自己在網上收到的任何東西,比如郵件,以防黑客試圖從他們那裡騙取更多信息。

雅虎建議用戶使用雅虎賬戶密鑰,這是一種驗證工具,用戶可以通過它使用手機驗證自己的身份,再也不必通過輸入密碼登陸雅虎賬戶。