雅虎又爆遇駭 10億個資遭竊

3年前出包 規模超過9月事件

〔編譯管淑平／綜合報導〕美國網路公司雅虎（Yahoo）又發生重大安全漏洞。該公司十四日表示，該公司系統三年前遭駭客入侵，竊走超過十億個用戶帳號的個資。雅虎九月才公佈兩年前另一起入侵事件至少五億用戶受害，創下歷年來規模最大的駭客入侵事件紀錄，這次曝光事件又改寫此一紀錄，令雅虎相當難堪。

雅虎分析執法部門提供的資料檔時，發現不知名第三方取得帳號資料，才發現這起安全漏洞。資訊安全長洛德（Bob Lord）說，攻擊發生在二○一三年八月，他們相信「未經授權的第三方」設法從十億個帳號竊取資料，雅虎正強制所有受影響用戶變更密碼，並且將其安全提問作廢。

請繼續往下閱讀...

雅虎：銀行帳號、信用卡未外洩

新揭露的這起事件較九月公佈的駭客攻擊還早一年，這兩次事件遭竊的均為姓名、電子郵件帳號、生日、電話、安全提問和答案；雅虎相信用戶銀行帳號、信用卡等資料並未外洩。

目前還不清楚有多少使用者在這兩次事件中均受害。雅虎有超過十億名活躍帳號，但是有些使用者擁有多個帳號，也不確定非活躍帳號是否也遭入侵。該公司也沒說兩次是否同一批駭客所為。雅虎將二○一四年事件怪罪於受某外國政府支持的駭客；對二○一三年這起，還無法鑑別出攻擊者身分，也不清楚入侵手法。資安專家認為，二○一三年事件中，大部分帳號個資並未被上網兜售，意味並非出自一般犯罪份子之手，很有可能是外國政府所為，以取得特定人士資訊。

這兩次事件都是在現任執行長梅耶（Marissa Mayer）任內。近年雅虎對資安重視程度不如以往，資安團隊與高層主管之間為了成本、安全措施可能造成使用者不便等問題衝突；該公司也被批評在採行更積極資安管理上反應遲緩，甚至直到執法部門告知前，都沒人發現端倪。

連遭重擊 威瑞森併購案添陰霾

此事也將再度影響雅虎七月與美國電信龍頭威瑞森（Verizon）達成以四十八億美元出售雅虎核心網路資產的協議。威瑞森十四日說，該公司將評估情況和事件新發展的影響，再做結論。雅虎九月公佈二○一四年入侵事件後，威瑞森即表示將尋求重新協商交易條件，當時市場解讀為要調降收購價格。科技產業諮詢公司CREATV Media主席薩提（Peter Csathy）說，「這可能是致命一擊，對該筆交易來說是連續兩次重擊。」