晴時多雲

雅虎又爆遇駭 10億個資遭竊

美國網路公司雅虎(Yahoo)又爆安全漏洞,該公司3年前遭駭客入侵,竊走超過10億個用戶個資,雅虎9月才公佈2年前另一起入侵事件,造成至少5億用戶受害,這次事件又改寫紀錄,令雅虎相當難堪。
(美聯社檔案照)

美國網路公司雅虎(Yahoo)又爆安全漏洞,該公司3年前遭駭客入侵,竊走超過10億個用戶個資,雅虎9月才公佈2年前另一起入侵事件,造成至少5億用戶受害,這次事件又改寫紀錄,令雅虎相當難堪。 (美聯社檔案照)

2016/12/16 06:00

3年前出包 規模超過9月事件

〔編譯管淑平/綜合報導〕美國網路公司雅虎(Yahoo)又發生重大安全漏洞。該公司十四日表示,該公司系統三年前遭駭客入侵,竊走超過十億個用戶帳號的個資。雅虎九月才公佈兩年前另一起入侵事件至少五億用戶受害,創下歷年來規模最大的駭客入侵事件紀錄,這次曝光事件又改寫此一紀錄,令雅虎相當難堪。

雅虎分析執法部門提供的資料檔時,發現不知名第三方取得帳號資料,才發現這起安全漏洞。資訊安全長洛德(Bob Lord)說,攻擊發生在二○一三年八月,他們相信「未經授權的第三方」設法從十億個帳號竊取資料,雅虎正強制所有受影響用戶變更密碼,並且將其安全提問作廢。

雅虎:銀行帳號、信用卡未外洩

新揭露的這起事件較九月公佈的駭客攻擊還早一年,這兩次事件遭竊的均為姓名、電子郵件帳號、生日、電話、安全提問和答案;雅虎相信用戶銀行帳號、信用卡等資料並未外洩。

目前還不清楚有多少使用者在這兩次事件中均受害。雅虎有超過十億名活躍帳號,但是有些使用者擁有多個帳號,也不確定非活躍帳號是否也遭入侵。該公司也沒說兩次是否同一批駭客所為。雅虎將二○一四年事件怪罪於受某外國政府支持的駭客;對二○一三年這起,還無法鑑別出攻擊者身分,也不清楚入侵手法。資安專家認為,二○一三年事件中,大部分帳號個資並未被上網兜售,意味並非出自一般犯罪份子之手,很有可能是外國政府所為,以取得特定人士資訊。

這兩次事件都是在現任執行長梅耶(Marissa Mayer)任內。近年雅虎對資安重視程度不如以往,資安團隊與高層主管之間為了成本、安全措施可能造成使用者不便等問題衝突;該公司也被批評在採行更積極資安管理上反應遲緩,甚至直到執法部門告知前,都沒人發現端倪。

連遭重擊 威瑞森併購案添陰霾

此事也將再度影響雅虎七月與美國電信龍頭威瑞森(Verizon)達成以四十八億美元出售雅虎核心網路資產的協議。威瑞森十四日說,該公司將評估情況和事件新發展的影響,再做結論。雅虎九月公佈二○一四年入侵事件後,威瑞森即表示將尋求重新協商交易條件,當時市場解讀為要調降收購價格。科技產業諮詢公司CREATV Media主席薩提(Peter Csathy)說,「這可能是致命一擊,對該筆交易來說是連續兩次重擊。」