黑客侵雅虎 竊5億賬戶資料 料俄國所為 事發兩年公布被轟隱瞞
原文刊於信報財經新聞
雅虎證實5億個賬戶資料遭黑客竊取,而早前已有網站爆料,有罪犯於網上發售2億個相關賬戶的資料(左圖紅框)。上圖為雅虎總部外的標誌。(彭博資料、網上圖片)
美國搜尋引擎巨擘雅虎(Yahoo)周四證實,其網絡系統前年曾遭相信「有國家支持」的黑客入侵,至少5億電郵用戶的賬戶資料外洩,相信是歷來規模最大的黑客入侵事件【統計圖】。雅虎呼籲過去兩年從未改密碼的用戶應盡快更改。雅虎在事發兩年後才公開證實事件,被批評有隱瞞之嫌,沒有盡責任保護用戶。
雅虎證實黑客的攻擊發生於2014年下半年,黑客入侵雅虎數據中心,竊取至少5億個用戶的賬戶資料,包括用戶姓名、電郵地址、電話號碼、出生日期、加密密碼,以及加密的安全提示問題與答案。至於其他密碼,以及存於另一系統的信用卡號碼及銀行戶口資訊等重要資料,則未受波及。安全提示問題是指用戶忘記登入密碼時所獲的提示。
建議快改密碼 勿開不明電郵
雅虎周四開始向受影響用戶發電郵,並在網站發布一系列建議,包括自2014年從未改密碼的用戶,應盡快更改;若在其他網站使用相同密碼及安全提示問答內容,也應更改;不回應要求用戶提供個人訊息的來歷不明電郵;收到附有網站連結或附件的可疑電郵時不要打開。然而,雅虎沒有公布「中招」用戶所在的國家區域。
雅虎表示,相信攻擊可能來自「有國家支持」的黑客,但聲稱黑客並非雅虎用戶,亦無證據顯示黑客仍隱藏在雅虎網絡,該公司正跟執法機構合作,美國聯邦調查局(FBI)證實已展開調查。雖然FBI及雅虎沒有披露哪個國家「支持黑客」,但路透引述美國情報官員稱,此案手法類似過往跟俄羅斯情報機構有關的黑客攻擊。
傳2億用戶資料網售1.45萬
事實上,早有傳言稱雅虎被大規模入侵,美國科技網站Motherboard上月率先爆料,指出名叫「和平」(Peace)的網絡罪犯試圖出售2億個雅虎賬戶資料,標價僅3個比特幣,當時約值1860美元(約1.45萬港元)。
雅虎初時稱沒證據顯示被入侵,惟及至公司保安小組深入檢查系統時,才發現黑客早在前年已竊取大批資料。
外界紛紛質疑為何雅虎待到周四才公開證實事件,美國消費者聯合會其中一名負責人格蘭特(Susan Grant)指摘雅虎故意拖延,無按法例在特定時間內通知用戶,沒有實踐保護消費者的責任。調查公司Forrester分析師波拉德(Jeff Pollard)批評雅虎需要兩年時間去發現、證實及承認,實在難以接受。
黑客事件更令人質疑雅虎提供保安及有效服務的能力。網上保安專家希弗(Eric Schiffer)稱,用戶應關注到雅虎缺乏溝通及保護用戶的投資,身份識別管理公司Centrify更稱雅虎面對存亡危機,事件可能是讓人徹底失望的最後一件事情。
網上保安專家建議用戶登入網站使用雙重認證;不要在多個網站使用同一密碼及用戶名稱;加密的安全問題特意使用錯誤答案,讓掌握個人資料的不法分子不易猜中答案。
支持EJ Tech
如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們。
