雅虎员工:雅虎不重视安全,信息泄露是咎由自取
发布日期:2016-09-29据外媒报道,6年前,雅虎、谷歌等公司都曾遭到黑客攻击。此后谷歌联合创始人塞吉·布林(Sergey Brin)把安全作为公司头等大事,投入数亿美元部署安全系统,招聘数百名安全工程师,并发誓不会允许任何黑客再染指用户账户。
据6名雅虎前员工以及现任员工称,雅虎对安全系统投资则慢半拍。2012年年中出任雅虎首席执行官时,安全就是玛丽莎·梅耶尔(Marissa Mayer)面临的问题之一。上述雅虎员工称,由于需要处理的问题有许多,她选择优先为雅虎邮等服务打造一个更简洁的界面、开发新产品,而非加强公司安全系统。
Paranoids——雅虎安全团队内部代号,经常会因安全成本与其他业务部门发生冲突。他们的要求也经常会被拒绝,因为高层担心更多安全措施带来的不便会吓跑用户。
但雅虎也为其选择付出了沉重代价,过去4年曾遭遇一系列令人尴尬的安全事故。雅虎上周披露,黑客2年前窃取了5亿用户的信息,是已知规模最大的企业黑客攻击事件。雅虎和FBI(美国联邦调查局)正在对此事展开调查。
雅虎的安全努力落后于银行和其他科技巨头。为提高系统安全性,企业通常必须降低产品运行速度和易用性。雅虎高管通常不愿意为安全牺牲服务速度和易用性。
雅虎发言人苏珊娜·菲林(Suzanne Philion)为雅虎的安全努力进行了辩护,称公司2014年初在加密技术方面投资1000万美元,与2015年相比,2016年雅虎安全项目投资增长了60%。
上周披露的用户信息泄露事件是梅耶尔遭遇的最新挫折。目前尚不清楚泄密事件是否会影响雅虎向Verizon出售核心互联网业务的交易。
上述雅虎员工称,在安全方面,梅耶尔反应要慢得多。2010年,谷歌开始向帮助发现系统缺陷的黑客支付报酬,3年后雅虎才启动类似计划,在这3年期间雅虎流失大量安全工程师,遭遇一次泄密事件和一系列安全攻击。雅虎称向帮助寻找系统安全漏洞的黑客支付了180万美元报酬。
雅虎负责邮件和消息服务的高级副总裁杰夫·邦弗特(Jeff Bonforte)去年12月接受采访时表示,公司首席信息安全官亚历克斯·斯塔莫斯(Alex Stamos)及其团队曾呼吁公司全面采用端到端加密技术。邦弗特说他没有理睬这一呼吁,因为它会影响雅虎索引和搜索消息数据、提供新服务的能力。
在其权力范围内,斯塔莫斯采取多种措施提高雅虎系统安全性,例如鼓励工程师开发更安全的代码、对数据中心之间的数据流量加密。但需要投入真金白银强化雅虎安全架构时,斯特莫斯多次与梅耶尔发生冲突。梅耶尔拒绝为雅虎安全团队提供经费,迟迟不部署主动性安全技术。上述雅虎员工称,过去数年,多名Paranoids员工跳槽到苹果、Facebook和谷歌等竞争对手。
去年跳槽到Facebook的斯塔莫斯未就此置评。但在斯塔莫斯任职期间,梅耶尔拒绝采取最基本的安全措施:系统被攻破后自动重置所有用户密码,原因是担心雅虎邮件服务用户流失。
相关资讯:
路透社报道称,6名美国民主党参议员向雅虎CEO Mayer本人发信,质问了Mayer一些关于雅虎5亿账号信息被盗问题,最重要的一点是:为什么雅虎等了2个月才向用户发出数据被盗的警报!
5亿雅虎账户被盗,账户信息可能包含电子邮件地址、电话号码、出生日期、哈希密码,甚至包含密码和安全问题。雅虎账户泄露事件打破了Myspace 4.27亿账户被盗的记录,是今年迄今为止账号被盗规模最大的信息泄露事件。
北京时间8月3凌晨消息,雅虎正在就一桩疑似黑客案展开调查,内容是其2亿个用户账号可能已被窃取,并在黑市网络上被出售。
继LinkedIn、MySpace..之后,雅虎某团体约6500万Tumblr账户数据在黑市热卖
本月早些时候Tumblr曾透露,某第三方团体曾在2013年被雅虎收购前,大量的邮箱账号和密码已被黑客获取。近日,一名叫peace_of_mind的黑客在暗网黑市The Real Deal,正大肆兜售Tumblr的数据,定价为0.4255比特币(约合225美元)。
新提出的SMTP严格传输安全(SMTP STS)能解决以上两个问题。它赋予了邮件服务提供商告知客户端应用TLS的途径,还能提示客户端验证证书,告知客户端TLS连接不能安全建立的时候会发生什么状况。