國家級黑客攻擊 歷來最大宗雅虎5億用戶資料被盜
1 :
GS(14)@2016-09-24 23:30:36■邁耶最初由Google過檔,令人期待她可令雅虎起死回生,卻發生了雅虎被黑客大規模攻擊事件。資料圖片
美國雅虎公司(Yahoo)前日宣佈成為互聯網世代歷來最大宗黑客攻擊的受害者,至少5億用戶被「國家級黑客」盜去姓名、電郵及密碼等個人資料,更已經是兩年前的事。事件揭露雅虎警覺性低,又沒有為賬戶保安問答內容編碼,被質疑對客戶保障不足;雅虎呼籲用戶立即更改密碼保護資料。雅虎兩個月前接到科技網站Motherboard通報,指一名叫「Peace」(和平)的黑客在暗網以1,900美元(14,820港元)兜售逾2億雅虎用戶資料。這類通報現時相當普遍,雅虎循例調查,最初未見證據,但進一步查證後卻發現更壞更糟的消息,於前天發聲明公佈。
沒為保安問答內容編碼
「最近一個調查證實有一定用戶資料於2014年下旬被盜去,相信是受國家支援的黑客所為。資料可能包括姓名、電郵地址、電話號碼、出生日期、雜湊密碼(hashed password),某些個案還包括已編碼及未編碼的賬戶保安問題與答案……並不包括信用卡數據與銀行賬戶資料……相信至少5億用戶資料被盜」。雅虎會通知所有受影響客戶,並會建議他們保障資料的方法。雅虎沒交代懷疑黑客受外國政府操控的理據,然而路透社引述三位不具名美國情報官員報道,今次攻擊跟以往涉及俄羅斯情報部門的攻擊甚為相似。科技界相信今次已經超越社交平台MySpace有3.6億用戶資料被盜的紀錄,成為互聯網史上涉及最多賬戶的黑客攻擊事件,亦是最嚴重的單一電郵服務供應商客戶資料被盜個案。業界不但對雅虎的後知後覺大表失望,更對雅虎沒有為賬戶保安問答內容編碼感到詫異。保安問題與答案一同外洩,意味受害者即使在其他賬戶使用不同密碼,但只要保安問答設定一樣仍可能被黑。科技保安專家馬修斯直言「這根本是房裏的大象,這樣敏感的資料若然雅虎真的沒做好編碼工作,在保障客戶方面顯然是相當失敗」。有前員工透露這是雅虎刻意安排,以便更容易揪出虛假賬戶,因這類賬戶通常重複使用相同問答設定。
Flickr Tumblr恐受牽連
分析又提醒受害用戶的損失可能遠超所想,事關雅虎還提供網上相簿Flickr及博客平台Tumblr等服務,前者早已限制用戶必須以雅虎賬戶登入。聯邦調查局(FBI)調查事件,雅虎正跟當局合作。美國電訊商Verizon兩個月前才公佈準備以48億美元(374.4億港元)收購雅虎核心業務,今次黑客攻擊或會影響收購大計。路透社/美聯社
來源:
http://hk.apple.nextmedia.com/international/art/20160924/19780076