6 年前 Google 遭到中国国家骇客攻击,但其实那次事件还有个大目标并未揭露,那就是 Yahoo。纽约时报的调查报导,发现 Yahoo 也被攻击,但直到最近大家才知晓,对于广大的 Yahoo 用户以及 Yahoo 新买主 Verizon 来说,可真不是好消息。
没有公司不曾被骇客入侵,但要时时武装自身以应付想尽办法入侵的骇客。根据纽约时报的消息匿名来源指出,举其他公司的例子,同样被国家级骇客盯上而且得手的 Google,Google 共同创办人 Sergey Brin 就矢志将资安放在第一位,积极招募有能力的资安专家。Google 聘雇上百位资安专长的人,签约时就有 6 位数美元的签约金,投资上百万在资安设备上面,并且内部的口号“不要再发生”,提醒在这边工作的人要尽全力防堵可能的资安漏洞。
相比之下,Yahoo 的作为既比不上 Google,跟其他硅谷公司比较,也达不到他们的平均水准。当 Marissa Mayer 在 2012 年掌管 Yahoo 时,她有相当多急需要做的事情,其中包括强化资安。但 Mayer 选择比较容易看到成果的部分,像是推出简洁界面的 Yahoo 邮件服务,这些看得到的 UI 改变,而不是很难看出改变的强化产品的资安防护。
Yahoo 内部的资安团队,代号“Paranoids”常常为了确保资安的立场,而必须与其他部门争执。其他业务部门往往因为怕额外增加的资安保护措施,会增加使用者不便,而放弃使用 Yahoo 服务。Paranoids 团队提出方案往往被否绝。Yahoo 如此对资安的态度,会接二连三发生外泄事件也不足为奇了。最近一次 Yahoo 的资安漏洞是上周的事情,有 5 亿用户资料外泄,为单一公司最大资安外泄事情。
为了确保电脑系统安全,常常必须让产品的速度和使用难度增加,但 Yahoo 不愿意因此得罪使用者。另外,Yahoo 为避免用户被惊扰,也没有启用大规模重设机制,让受影响的账户有未授权的使用,避免灾情扩大。
直到史诺登揭露国家大规模监视人民,Yahoo 是 NSA 经常破解侵入的主要目标。过了一年多,Yahoo 才聘雇新的首席资讯安全长 Alex Stamos,算是象征 Yahoo 要好好看重资安。
Yahoo 负责邮件和即时通软件的资深副总裁 Jeff Bonforte,曾在去年 12 月的访问中,提到 Stamos 主张要引进点对点加密,意味所有从 Yahoo 出去和进来的连线都要加密。这导致服务提供商 Yahoo 也读不到使用者的资讯。Bonforte 反对这么做,因为无法索引使用者资料,不能从中发展新服务。
Stamos 还从他部门建立一只专门检验程式码,写出更安全的程式码的团队,并且着手建立资料中心之间的加密连线。另外还建立“红队”攻击自家服务找出漏洞,并与其他业者分享资讯,像是由 Yahoo、Dropbox、脸书、Pinterest 等公司组成的 Threat Exchange 分享资安资讯。
但当 Stamos 争取预算添购设备时,Mayer 却泼 Stamos 冷水,另外还撤除主动资安防御,像是 Yahoo 产品的入侵侦测机制。
Yahoo 在资安这块缺乏投资,使得在与同一等级公司的人才争夺抢输别人。最后 Paranoids 团队成员陆陆续续被其他竞争公司如 Google、脸书、苹果挖走,Stamos 也离开 Yahoo 前往脸书任职。
目前还不太知道 Yahoo 曾被中国网军攻击这件事情,会对已经很惨的 Yahoo 造成什么影响,因为惨剧早已发生多起,不差这次提起 6 年前的成年往事,以及上周超大规模的资料外漏事件。美国国会议员则看准这些事件,质问 Yahoo 知道什么,又是何时知道被骇的事情。除了面临与 Verizon 旗下 AOL 整并的事,还有多起因资安漏洞引起的民事诉讼正等著 Yahoo 处理。
I want to know when @Yahoo knew about the massive hack and why it took so long to go public. https://t.co/IYYUKh0Y6L
— Sen. Patrick Leahy (@SenatorLeahy) 2016年9月27日
相关连结
- Defending Against Hackers Took a Back Seat at Yahoo, Insiders Say
- NYT: ‘Defending Against Hackers Took a Back Seat at Yahoo, Insiders Say’
(首图来源:Flickr/Neon Tommy CC-BY-SA 2.0)
延伸阅读:
- 针对史上最大宗 5 亿笔账号被盗一事,台湾 Yahoo 奇摩声明仅表示“电商相关部分不受影响”
- 历来最严重,Yahoo 遇骇 5 亿用户个资遭窃
