7月刚出售互联网核心业务的雅虎公司今天尴尬地承认,其5亿用户的信息被黑客盗窃,这一数字远超之前媒体2亿雅虎用户信息泄露的预估,也就是说这一泄露是世界范围的,也创造了一个不好的纪录,即有史以来最大数量的单一网站用户信息被盗窃的纪录。
在雅虎公司确认5亿用户信息被黑客盗取之前,单一网站用户信息泄露的纪录前三名分别是MySpace的3.6亿邮件泄露、Linkedln的 1.67亿用户信息泄露以及Ebay的1.45亿用户信息泄露,雅虎尴尬的刷新了这个纪录。
雅虎帐号泄露被曝光的日期其实是8月1日,一名网名Peace_of_Mind的黑客在暗网The Real Deal出售2亿个据称是雅虎用户账户信息资料,当时的售价是3个比特币——当时的价格约1860美元,Peace_of_Mind也是出售1.17亿个LinkedIn帐户信息和3.6亿封MySpace邮件的黑客,所以当时大家就认为雅虎的账户资料泄露大概率是真的。在线杂志Motherboard就测试了黑客Peace_of_Mind提供的5000个用户样本,其中包含活跃的雅虎帐号和已经停用的帐号。
当时距离Verizon公司以48.3亿美元收购雅虎公司的互联网业务刚刚过去一周,雅虎公司仅表示将会调查。而经过近两个月的调查,雅虎公司证实被盗窃的雅虎账户数量高达5亿,包括姓名、电邮地址、电话号码、家庭住址、生日信息和加密密码、部分安全问题和答案等信息都被黑客窃走,所幸不包括信用卡和银行帐户信息。
雅虎公司表示窃走大量数据的攻击发生在2014年年底,入侵黑客不属于雅虎用户,并且可能具有国家背景——Peace_of_Mind被认为是俄罗斯背景的黑客团体。雅虎公司目前建议在2014年之后没有更换过密码的用户,应该更换自己的密码。而Peace_of_Mind曾对杂志Motherboard表示已经私下交易雅虎泄露的账户数据一段时间,只不过选择8月1日进行公开出售而已。
在Verizon公司正准备接管雅虎互联网资产的时刻,雅虎证实的这一大规模账户泄露真的让两家公司都很尴尬,并且这不是雅虎公司第一次大规模的账户信息泄露,在2012年,黑客团体D33Ds Company就公开了45万个雅虎邮件地址和密码,当时雅虎公司称45万个邮件地址中只有5%是有效的。但也有一种可能,当时黑客就已经窃取了更大数量的雅虎账户信息,只不过放出45万个烟雾弹,证实自己行动的真实性,然后在暗网或者其他地下市场交易雅虎的账户信息。
不论雅虎的用户数据泄露是发生在2年前还是4年前,雅虎公司的漏洞都存在很久了,黑客选择8月公开只不过是为了在Verizon公司正式接管雅虎公司之前将这些账户资料变现。
雅虎邮箱是世界最早提供邮件服务的互联网公司之一,1996年开始就提供服务,故而成为很多早期互联网用户的常用邮箱。雅虎公司目前仍拥有2.25亿的月活跃邮箱用户——这是在雅虎公司与Verizon公司的交易中公开的数据。雅虎承认泄露的用户数据有5亿之多,很可能包括活跃邮箱用户和不活跃的用户在内。 不过即使有人停用了邮箱,包括姓名、电话号码和生日,以及密码都可以被用来对比其他网站泄露的信息,或者被用来撞库,也就是黑客尝试用泄露的邮箱和密码组合登录其他网站。
让大家吃惊的不仅仅是5亿个被泄露的账户信息数量,而是在今年8月黑客尝试出售这些数据之前,雅虎公司受到黑客攻击的信息才浮出水面。在长达两年的时间内,雅虎是不知道用户信息泄露,还是有意隐瞒呢?在这段时间内,如果有的雅虎用户遭到金钱上的损失,这又如何追究责任呢?只不过这部分的责任很难举证,目前也不知道这次大规模的信息泄露是否会影响雅虎公司出售互联网核心业务的过程和估值。
黑客的活跃和盗窃各个网站的用户信息正成为科技公司日益头痛的事情,今年包括Facebook CEO扎克伯格在内的多名各界知名人士的Twitter账户被入侵,据说就是LinkedIn账户泄露事件导致的,因为扎克伯格在LinkedIn和Twitter使用了相同的密码。
其实很多用户也在不同网站使用相同密码,如果一家网站的信息泄露,往往其他网站的账户也会被攻破。而在不知道的地下交易市场,还不知道有多少网站的信息在被交易,对于普通用户来说,现在是在不同网站尝试不同的复杂密码组合,来降低黑客攻破网站损失的时候了。
关注更多最新海外科技和文化资讯,欢迎关注微信公共号“文观天下”(wenguantianxia)聊聊你的看法。
