從5億用戶到10億，頻繁泄漏用戶資料的雅虎如何填平巨「坑」？

撰文：Brian Womack

2016年9月，雅虎(Yahoo!)被曝數據泄露，5億用戶個人資料在2014年9月被黑客盜取。現在，僅僅時隔三個月，這家公司又出現了更加嚴重的安全問題。

12月15日，雅虎發布聲明稱其發現了新的安全漏洞，並表示此次數據泄露與2016年9月的5億用戶數據泄露「並無關聯」，據雅虎官方說明，本次信息泄露可追溯至2013年8月，據悉，該漏洞造成至少10億用戶的姓名、電郵和密碼被盜。在公告發布後，該公司股價應聲下跌2.6%。

據彭博社報道，新的安全漏洞醜聞除了損害雅虎的品牌聲譽外，也將帶給首席執行官瑪麗莎·梅耶爾(Marissa Mayer)不小的壓力。彭博社在此前發布的報道中援引路透社消息，稱即將接盤雅虎的Verizon「仍在等待此事深入調查後的結果」。據悉，Verizon首席法律顧問克雷格·斯利曼(Craig Silliman)認為Verizon有充足的理由認為雅虎「黑客門」的影響是實質性的，該筆價值48.3億美元的收購交易將很有可能告吹。

雅虎稱這一漏洞是一家第三方安全公司上報的，最令人震驚的是，這次的數據泄露跟2016年9月的5億用戶數據泄露並無關聯，這就意味著在短短3個月內，雅虎用戶數據泄露總數已經達到15億人次。據悉，雅虎已經通知了受影響的客戶，並表示該公司已「採取措施」強制用戶更改密碼，未經加密的安全問題和答案都已失效。

2016年7月，雅虎公司收到消息，一名黑客自稱手裡有2.8億雅虎用戶的個人信息，並表示將把這些資料拿去黑市轉賣。據知情人士透露，雅虎隨後對此事展開了內部調查，卻一無所獲。

今天之前你聽到的也許都是如上版本。然而，不久後雅虎又對黑客展開了獨立調查，隨著調查層層深入，手裡的證據越來越多，這家曾經的互聯網巨頭終於意識到，自己已經被卷進了一起重大信息泄漏事件。知情人士稱，早些時候，掌握了足夠的證據的雅虎終於決定將消息告訴Verizon，後者2016年7月25日宣布以48.3億美元的價格收購雅虎核心資產。

9月23日，雅虎發布官方聲明，承認在2014年的黑客襲擊中，至少5億雅虎用戶數據信息遭竊。雅虎稱被盜信息內容包括用戶名、郵箱地址、電話號碼、生日、哈希密碼以及部分用戶部分客戶加密或未加密安全問題和答案。此外，雅虎方面表示，此次網路入侵的幕後黑手「受到某國政府支持」。

「

「除了信息量與波及人數龐大到令人咋舌外，消費者更應該關心的是，究竟是什麼原因讓雅虎在調查和公開這起信息泄漏案上拖了這麼久？」

證券公司ThreatTrack的首席產品官烏斯曼·喬杜里(Usman Choudhary)在一封郵件中評價道，「雅虎居然讓這麼多數據在外流轉了兩年時間卻毫不自知，他們這次算是給自己惹上大麻煩了。」

雅虎公司

對該事件的調查目前仍在繼續，雅虎表示，根據已獲得的結果，被盜信息中並沒有包含未經保護的密碼、支付卡信息或者銀行賬戶信息，目前也沒有證據顯示作案的黑客還存在於雅虎的網路中。雅虎在聲明中稱已經通知了此次事故波及到的用戶，並對可能受影響的賬號開啟了安全保護。

「我們正在積極配合法務人員調查此次事件。」雅虎在官方聲明中稱，「今天網路攻擊和信息泄漏在科技產業時有發生。」

雅虎催促用戶對個人賬戶的可疑行為保持警惕，同時要求他們更改密碼或密碼保護問題，必要時可採用其他的認證方式進行驗證。

流年不利

雅虎CEO瑪麗莎·梅耶爾

考慮到Verizon對雅虎的收購尚未收尾，對瑪麗莎.梅耶爾而言，此次信息泄漏的曝光來得非常不是時候。梅耶爾任職CEO期間表現平平，不但沒能幫助這家公司走出衰退，反而讓原本支撐公司大部分營收的廣告業務逐步陷入低谷。梅耶爾歷盡千辛萬苦才找到Verizon接盤，整個收購流程2017年初才能全部完成，目前尚不得知此次黑客風波是否會對出售產生影響。

Verizon表示兩天前才剛剛得知這個消息。

「我們明白雅虎正在對此展開積極主動的調查，但是我們對事件的影響知之甚少。」Verizon在聲明中表示，「隨著調查的深入，我們會從Verizon的利益出發，對估值做出相應調整。我們將把客戶、股東和夥伴公司的意見都納入考量範疇。」

2016年7月25日，Verizon宣布以48.3億美元的價格收購雅虎核心資產

根據Recode 9月23日的報道，梅耶爾在安全問題上的疏忽和處理此次黑客事件的拖沓令一位雅虎高管感到極度失望。雅虎此前的信息安全主管阿列克斯·斯塔莫斯(Alex Stamos)說，他嘗試過很多次要引起梅耶爾對安全問題的重視，但是通通都失敗了。斯塔莫斯早前離開了雅虎，現在就職於Facebook。雅虎發言人隨後就質疑做出回應，稱：「在梅耶爾任CEO期間，我們一直致力於保障客戶的信息安全，我們實行的安全措施比以往任何時候都要多。」

姍姍來遲

雅虎7月收到疑似信息泄漏的消息，隨後展開了調查。通常情況下開展此類調查往往需要花費幾周甚至更長時間。法務人員得對電腦的登錄信息逐個過濾，政府調查人員將需要對繁多的網路路徑進行梳理，從而找出黑客的電腦和通路信息。

公布泄漏信息的時間很大程度上由公司法律部門決定，法律助手將遵循本州法規衡量什麼時候才是公布消息的最佳時間，以及對外公布的內容。大多數公司只有掌握了絕對證據，證明信息失竊屬實才會發布消息。若出現黑客進入內部網路、刪除記錄的情況，決策難度會更大。

如果說雅虎推遲公布消息還合情合理，那失竊數據的規模與數量就太讓人不可思議了。一些信息安全專家表示，根據已泄漏資料的描述信息，它們對雅虎而言及其珍貴，丟失了這麼一大筆「資產」卻渾然不覺，這才是雅虎公司最大的失敗。

安全保障軟體供應商Unisys Corp.的副總裁湯姆·帕特森(Tom Patterson)在郵件中評論了該事件，他認為雅虎的「邊緣防禦」防火牆已經過時了，這種傳統的系統安保系統使黑客進入系統後自動獲得信任與授權，「之後他們就能在公司的內部網路里為所欲為了」，帕特森解釋道。

兩位參與調查的知情人士透露，雅虎之前所謂的「黑客背後有某國政府支持」不足為信。雅虎也並沒能給出任何證據支持此說法。

在大公司受到網路攻擊時，把「髒水」潑到其他國家身上幾乎已經成了公司高層默認的「免死金牌」。彭博此前報道過摩根大通(JPMorgan Chase)狀告俄羅斯政府，指控其策動了2014年黑客對美國銀行的網路攻擊。FBI在調查後發現此次事故是由股票市場中的一些違規分子操縱的，雖然現在仍有人認為該事件與政府有關。

雅虎8月宣布正在對提供用戶信息的黑客進行調查。據Motherboard8月的報道，代號為「Peace」的黑客除了盜取雅虎2億用戶資料外，也曾經在黑市出售過職業社交網站領英和社交網站聚友網(My Space)的用戶信息。

「這些用戶資料能幫黑客謀取暴利。他們會以個人信息作為條件要挾用戶，也可能利用資料出去行騙，」Gartner的分析師阿維亞·利坦(Avivah Litan)表示，「偽造身份進行犯罪在全球範圍內都十分普遍，目前並沒有很好的手段解決這個問題。」

（本文原載於《商業周刊/中文版》App 2016年9月）

編輯：李辰旭稼、劉馨蔚

立即獲得關於TA的更多信息！

送書福利丨特朗普的世界觀丨實體書店丨沃爾瑪犯罪丨

粉絲造星丨許小年丨Hello World丨紅色電話亭丨離奇謀殺案丨

......

巴菲特借特朗普東風股價飆升

巴菲特專訪：只想做最長壽的人 |視頻

盡在《商業周刊/中文版》App