雅虎行政总裁梅尔上任后未能扭转乾坤。设计图片
大公网9月24日讯 综合法新社、美联社、《华尔街日报》、彭博社报道,美国雅虎公司(Yahoo Inc)周四证实,公司网络2014年遭大规模攻击,可能“获得国家支持”的黑客窃取约5亿用户的资料,FBI展开调查。这可能是历来最大规模的网上资料外泄事件,恐能影响雅虎以48.3亿(376.7亿港元)美元向Verizon出售核心业务的交易。
其实数月前就已传出雅虎遭黑客大规模攻击的消息,但该公司周四才透露受损详情,称调查判定“有些用户的帐户资料遭窃”,以及这次攻击出自“获得国家支持的人”。
本港用户亦中招
雅虎发布声明说:“根据还在进行的调查,雅虎相信与至少5亿用户帐户有关的资讯失窃。”雅虎表示,失窃的资料包括用户姓名、电邮地址、电话号码、出生日期、加密或未加密的保安问题及答案,但可能不包括付款卡和银行帐户资料。该公司又说,经调查后,没有证据显示那些黑客仍在雅虎的网络内,公司正协助执法部门调查。雅虎称,该公司在通知可能受到影响的用户,并已采取措施保护这些用户的帐户。本港有用户接获相关通知,担心个人资料被用作不法用途。
雅虎要求受害用户变更密码,也建议自2014年以来都没有改过密码的人能变更密码,以防万一。雅虎也呼吁用户,检视帐户是否有可疑的活动,若是在其他网站使用相同密码和安全问答内容,也应迅速变更。
宣布出售两月始公布
暂时未知今次资料外泄事件,会否影响雅虎计划出售其电邮服务及其他核心互联网业务予Verizon通讯公司。根据今年7月宣布的消息,Verizon正在推进以48.3亿美元收购雅虎的交易,不料两个月后,雅虎才宣布遭到如此大规模入侵。
很多合并协议都包含这样的条款,允许买方在交易价值受到“重大不利变化损害”的情况下退出交易。对于近年用户不断流失的雅虎,一个导致5亿用户信息外泄的安全事件,算不算“重大不利变化”?在Verizon与雅虎的交易中,这类变化被定义为:“从整体来看,可以合理推断将对公司业务、资产、财产、经营业绩或财务状况造成重大不利影响的变化”。让他分析评估,这次事件可能会导致至少5%用户彻底离开雅虎。
Verizon发言人瓦雷东尼在周四的声明中称,公司两天前才知道雅虎系统遭到入侵,“掌握的信息有限,对其影响的了解也有限”。雅虎股价周四几乎没有波动,上涨0.01美元,至44.15美元,表明投资者似乎不担心雅虎与Verizon的交易。
Verizon可重新谈判
不过,美国硅谷法律集团的律师史蒂芬.吴(音译)在评估了收购协议后表示,雅虎事实上已经承诺没有发生过资料外泄事件,而且在2017年第一季度交易完成前也不会发生。吴表示,这就让Verizon有机会重新谈判甚至放弃交易。Verizon的困难在于如何精确定义“重大不利影响”,以及这是否足以抹杀Verizon对雅虎的兴趣。
雅虎称其是在今年夏天得知数据外泄一事的,那之前,有自称“心境平静”(Peace of Mind)的黑客试图在黑市兜售2亿个雅虎用户的资料。雅虎当时建议2014年后从未更改密码的用户,变换密码。
虽然正式纪录显示黑客最大规模入侵的事件,但许多分析师认为,今年稍早Myspace网站遭黑客入侵,有3.6亿用户受害,应该是先前最重大的案件。
雅虎公司总部。图片来源网络
太迟发现入侵雅虎重大疏漏
今年7月,雅虎收到报告,获悉黑客在黑市叫卖该公司2.8亿用户的帐户资料,类似传闻在坊间十分普遍,雅虎调查过相关数据后,没有找到证据,遂没有公开。
在最初调查无果后,雅虎决定进行一次更深入的系统安全性调查,最终得出本周四公布的结论,公司在2014年曾遭黑客入侵,5亿用户资料失窃,入侵者似获国家支持。
雅虎7月得知遭受黑客攻击,调查耗时数周或更长时间是可以理解的,因为取证专家要筛选电脑纪录,政府机构需要梳理互联网流量,以辨别电脑遭入侵的痕迹。而何时公布遭入侵的消息则很大程度由公司法律部门决定,他们研究法律条文,以决定何时公布哪些信息。受害企业一般只披露那些证实遭窃取的资料,而在“高手”黑客可随时抹去入侵和窃取痕迹的情况下,这是一项艰巨任务。
如果说,雅虎延迟发布受入侵的消息可以接受,但部分专家称,多达5亿用户资料失窃都没能及早发现,却是一个重大失误。分析指,雅虎有可能过度依赖旧式的“雷池”防御模式,资讯科技公司优利(Unisys Corp)全球安全商业副主管柏特逊指出,黑客一旦入侵企业网络,“即获得信任,便可大肆破坏。”此外,有专家指出,幕后黑手是“获国家支持”的黑客,这种说法也令人怀疑,因为雅虎没有提供任何信息说明是如何得出此结论的。
美联社则指,此次事件令人怀疑,雅虎是否有能力维持安全有效的邮箱服务,尤其是该公司过去八年为了解决收入减少问题,一直在裁员并削支。在遭黑客入侵期间,公司安全团队由Facebook前安全总监斯塔莫斯负责。
大公报9月24日A9版部分版面