传雅虎为美国政府定制秘密工具,可对上百万雅虎邮箱实时扫描
发布日期:2016-10-09雅虎最近大概是真的太想上安全行业头条了,前不久才宣布了5亿帐号泄露,这几天又惹上了大麻烦。路透社10月5日报道称,去年雅虎为美国政府定制了一款秘密工具,可以对上百万雅虎邮箱进行实时扫描,这样一来NSA或FBI就可以实时扫描每一个用户的邮件,搜索他们感兴趣的内容。而Motherboard最新的报道则指出,这还不仅仅只是个扫描工具。
雅虎为美国政府定制邮件扫描工具?
这次事件的曝光源于路透社收到的三条匿名线报,据说雅虎在2015年初收到了来自FBI或NSA的一份机密请求,要求雅虎为其定制一款可以特定词或短语在雅虎邮箱中搜索指定内容的软件。报道称, 起初雅虎并不打算执行这一请求。不过雅虎自己的法律部门认为这可能造成更多的麻烦。所以在2015年5月,雅虎的CEO Marissa Mayer最终决定让公司的工程部来为政府定制这个实时邮件扫描工具。
“据知情人士透露,雅虎在去年定制了一个针对用户邮箱的秘密工具,这个软件可以扫描邮件的特定内容再提交给美国情报官员。”“共有三名原雅虎工作人员和一位在内部报告过此类事件的人都透露说:雅虎遵守了美国政府的机密要求,在美国国家安全局和FBI的要求下扫描了上百万的用户邮箱。”
这次事件一旦得到证实,如此大规模的邮件内容实时泄露可能也是第一次。在此之前,美国政府机构能够实时扫描并收集数据的邮箱只有很少一部分。这也再一次证明了之前斯诺登揭露的棱镜门事件的确就是美国政府最常用的手段:通过控制美国的一些IT巨头,让这些公司将用户信息拱手奉上。先前斯诺登泄露的文档就提到,雅虎正是参与棱镜项目的公司之一。
不仅只是个邮件扫描工具?
目前尚不清楚,美国情报机构具体是要在雅虎的邮箱中找什么,可能是利用这款工具在邮件内容或附件中搜索特定的“一段字句”。路透社在报道中提到,去年5月份,雅虎自己的安全团队在部署公司系统几周后发现了这个监控项目。团队一开始还以为是公司被黑客入侵了,后来才发现这个项目是在CEO的授权下进行的。
有关这款工具究竟是什么的问题,泰晤士报报道说它实际上是雅虎现有扫描系统的修改版本,能够对恶意程序、垃圾邮件、儿童色情图片等内容进行扫描。纽约时报则在报道中提到,某些有国家背景的恐怖组织会采用某种特定的通讯方式,而雅虎的这套系统可用来搜索包含这类通讯方式的电子“签名”的邮件。
不过Motherboard的消息源指出,这款工具绝不只是个扫描工具,而更像是个rootkit——能够深入到被感染的系统中,是个强有力的恶意程序。Motherboard在报道中提到:“其中绝对包含雅虎邮箱原本不该有的东西,此后门实际上危害到了所有的雅虎用户。”这篇报道中还提及“某个不愿透露姓名,但比较了解该项目的线人”说,这款工具是雅虎邮箱服务器之上的一个“buggy”“rootkit”,是个“设计糟糕”的后门——黑客完全可以利用这款工具访问所有雅虎用户数据,甚至雅虎网络。
所以先前雅虎自己的安全团队才会误以为系统被黑客入侵。两名雅虎公司的前雇员甚至还透露道:“公司服从政府出卖用户信息的决定,直接导致了去年6月首席信息安全员Alex Stamos的离职。” “Alex Stamos在发现这起事件之后不久就递交了辞呈,并且对下属表示不会参与到这种危害用户安全的项目中去。他认为黑客可以直接利用这个程序中的漏洞入侵雅虎的邮件库。”路透社报道称:“Stamos在辞职之后加入了Facebook,自始至终也没有提过自己跟雅虎的纠纷。”
可见这个项目的机密性,早前甚至是对雅虎安全团队保密的。
雅虎否认存在监控工具
NSA和FBI方面当然没有就此事件发表任何评论。不过在路透社报道了此次雅虎为美国政府定制邮件搜索工具几小时后,雅虎官方直接否认了这一指控:路透社的文章完全是误导,这样的工具从一开始就不存在。
雅虎在声明中提到:“雅虎公司在每次政府请求获取用户数据时,都会尽可能将数据的暴露程度降到最低。像这种自动搜索邮件内容的工具绝对不是我们公司的。”
雅虎解释说,报道中提及的邮件扫描其实是安全软件的附加功能,是为了检查传入的电子邮件是否存在恶意行为。雅虎还引用了在10月5日美国国家安全局局长,海军上将Michael Rogers在剑桥网络峰会上对路透社这篇报道的评价“有点投机”,来讽刺路透社。
雅虎在最后说道:“我们从未这样做过,没有法院会给我们公司这样的权利。我们公司有着自己特定的角色。法院一定是为了特定的时间的特殊目的才会授权的。”
教你关闭雅虎邮箱
先是泄露了5亿用户数据——最近又有消息说,这甚至对Verizon收购雅虎核心资产造成了影响!然后又被爆料为美国政府提供邮箱扫描工具,甚至是Rootkit,雅虎用户看到这里应该很想停用雅虎邮箱了吧?删除账户只需要以下三个步骤:
第一步:登录账户
第二步:进入”终止你的Yahoo!账户” 界面
第三步:再次输入你的密码,输入验证码,然后点yes
雅虎会将你的所有数据永久删除,包括你曾在雅虎的图像分享网站Flickr上分享过的照片。如果你之后还想用这些照片的话,要记得在删除雅虎账户之前将Flickr账号进行迁移。删除后,雅虎还会在服务器上保留账户信息90天,以防这个删除只是别人的恶作剧或被是被他人恶意删除。
相关资讯:
近日,信息安全公司InfoArmor的一名人士指出,在2014年雅虎帐号遭遇大规模信息安全攻击的事件中,攻击者是信息安全罪犯,而不是由政府支持的组织。
雅虎5亿账户信息被黑客窃取一时舆论哗然。其实纵观全世界,雅虎并不是信息泄露的唯一受害者,因为无论是偷情约会网站还是民主党全国委员会,没人能挡住黑客们摧枯拉朽的手段。下面我们就来共同盘点与雅虎同病相怜的10个倒霉蛋。
雅虎的安全努力落后于银行和其他科技巨头。为提高系统安全性,企业通常必须降低产品运行速度和易用性。雅虎高管通常不愿意为安全牺牲服务速度和易用性。
路透社报道称,6名美国民主党参议员向雅虎CEO Mayer本人发信,质问了Mayer一些关于雅虎5亿账号信息被盗问题,最重要的一点是:为什么雅虎等了2个月才向用户发出数据被盗的警报!
5亿雅虎账户被盗,账户信息可能包含电子邮件地址、电话号码、出生日期、哈希密码,甚至包含密码和安全问题。雅虎账户泄露事件打破了Myspace 4.27亿账户被盗的记录,是今年迄今为止账号被盗规模最大的信息泄露事件。
北京时间8月3凌晨消息,雅虎正在就一桩疑似黑客案展开调查,内容是其2亿个用户账号可能已被窃取,并在黑市网络上被出售。