Yahoo繼9月被爆出有5億筆帳號資料外洩後,該起事件為網路史上最大的單一網站帳號外洩事件。然而,Yahoo現又被爆出另一起帳號盜取事件,而這次遭盜帳號數量為第一起的兩倍,高達10億筆!
和上一起帳號盜取事件的漏洞不同
Yahoo今天公布另一起帳號竊取事件。2013年8月時,他們遭「未經認證的第三方團體」透過資安漏洞竊取Yahoo會員帳號資料,數量高達超過10億筆。他們認為,這次的漏洞和上次造成5億筆帳號遭盜取的漏洞是不同的。Yahoo說明,這次的原因可能是駭客盜取了Yahoo的專用程式碼(proprietary code),並藉此偽造cookies。
然而,Yahoo資安長Bob Lord表示,至今他們仍無法確認在這10億筆帳號中有哪些資料遭盜取。
「被竊取的用戶帳號資訊可能包含姓名、電子信箱地址、電話號碼、出生日、用MD5加密的密碼,在部分情況裡,還可能包含加密後或未加密的安全問題和答案。」Lord補充。不過,明文密碼(clear text passwords)、信用卡資料、銀行帳號等資訊並未外洩。
Yahoo稱在發現帳號竊取事件後,已通知受影響用戶,並採取措施保護用戶帳號,例如要求用戶更改密碼。
恐影響Verizon對Yahoo收購案
在2013年和2014年連兩年被爆出大型帳號竊取事件,不僅讓Yahoo聲譽掃地,對美國電信商Verizon於7月同意以48.3億美元收購Yahoo的交易案,更是雙重打擊。在9月傳出帳號竊取事件後,《紐約時報》報導稱,Verizon考慮到醜聞影響,要求Yahoo降價10億美元。這筆交易原訂在2017年第一季完成。
「就像我們一直說的,我們會在Yahoo持續調查的期間,同時評估這個狀況。」Verizon在聲明中表示。「在達成任何最終結論前,我們會評估新進展帶來的影響。」
除了資安漏洞,Yahoo內部對用戶的個資保護也受到質疑。今年10月,Yahoo被爆出2015年曾受美國政府指示秘密監視用戶電子郵件。Yahoo在事後回應該則新聞「誤導」,他們並未安裝監視軟體掃描郵件,但並未直接否認他們接受美國政府要求而執行此計畫。
資料來源:Yahoo、TechCrunch、Bloomberg
