2016年年底,Verizon 的收購尚未完成,雅虎曾發出聲明稱曾在2013年8月被駭客襲擊,導致超過10億用戶訊息洩露。Verizon 最終以44.8億美元的價格收購,在完成收購後,Verizon 並沒有完全相信雅虎提交的報告,在外部安全專家的幫助下開始著手調查雅虎之前的數據洩露。而最新的進展是:雅虎超過30億的用戶訊息,無一倖免的全部被洩露了。而許多人疑惑的是,2013年那一年,到底發生了什麼事?
一般業界普遍認為,2013年是雅虎轉型(失敗)的關鍵一年。2012年上任的梅耶爾在一年的內部整頓之後,開始試圖將雅虎向行動端 Internet 方向轉型。
2012年12月到2013年8月不到一年的時間裡,雅虎為了簽下更多的創新人才而「收購」(並關閉)了18家初創公司,也是從那個時候開始有了那句著名的「雅虎唯一的業務就是關閉業務」。
2014年,手握 Flickr、Tumblr 兩大殺手級服務和大量(即將上市的)阿里巴巴早期股份的雅虎達到了距離復興最近的時點。然而,事與願違,隨著 Google、微軟和 Facebook 在行動端領域的進一步投入,雅虎及旗下業務在2014年後迅速衰落,雅虎唯一的價值就是手裡還持有一些阿里巴巴的股票。
事後回顧,許多被收購的初創 App 在關閉服務之前接入了雅虎 ID,這反而使得洩露的範圍進一步擴大。比如你可能覺得你很久沒用雅虎就沒事兒了,那你有沒有在雅虎收購之後用過 Flickr 和 Tumblr 呢?如果有,那麼這30億的用戶訊息裡,也包含你的一份。
但神奇的是,在雅虎最終試圖出售自己之前,它從未公佈過到底有多少用戶曾受到資料洩露的影響,而事實上也從沒有人發現。
- 2016年9月,雅虎先是公佈了一起涉及2億用戶的資料洩露
- 2016年10月,雅虎公佈了涉及10億用戶的資料洩露
- 2017年10月,新公司 Oath 表示:以前雅虎說的都不算,最新消息是「全部」用戶的資料,都被洩露了。
儘管是針對同一事件數字的反覆更新,但無論是2億、10億還是現如今的「超過30億」都成為人類歷史上單一網站「個資洩露事件」的上限。
雅虎之所以可以將這件事隱瞞這麼久,原因可能是在這次洩露確實不涉及用戶的直接付款訊息和明文密碼。因此除了雅虎自己,沒有人能夠證明那些在駭客之間透過暗網交易的用戶資料,是來自雅虎的。
但這並不意味著雅虎洩露的資料對於駭客來說沒有價值,透過用戶的電子郵箱、電話號碼和生日等訊息,駭客可以改善自己的資料庫,進一步利用社會工程攻擊來實施詐騙或釣魚——不然你以為那些垃圾郵件和詐騙電話是怎麼準確說出你的名字的?
根據美國科技媒體 Motherboard 的報導,這些數據最初由一名個人駭客從雅虎的資料庫中盜出。在2013年以3個比特幣(當時約合1860美元)的價格出售。
而參與了此段時間調查的第三方安全機構 InfoArmor 表示,雅虎的資料庫也輾轉賣到了東歐駭客組織的手中,價格也從最初的上千美元一份,上漲到最高10億美元。這價格...買家眾籌一下似乎可以考慮直接收購雅虎了。
由於資料洩露已久且幾乎無法挽回,目前警方、Verizon 和安全專家調查的方向從「追查駭客」變成了「確定責任」——究竟誰該為這起歷史上影響範圍最大的洩露事件負責。
根據今年5月份雅虎的財報資料顯示,雅虎目前在美國境內面臨至少41起集體起訴,而如果資料洩露的範圍擴大到「雅虎全體用戶」,那麼將會讓起訴者更輕易的證明自己利益受損並導致賠償範圍的擴大。
不過,這一切已經與雅虎的上一任 CEO 沒有關係了。
梅姐在 Verizon 收購雅虎之後就迅速的離開了董事會,並於今年6月13日正式辭職。在這場離職過程中,梅耶爾除了擺脫掉雅虎剩下來的麻煩之外,還獲得了價值2億元的雅虎期權與股票,以及2300萬美元離職補償。
作為雅虎時代最後一任CEO,梅姐曾在離職是接受採訪說:「自己在雅虎的工作盡職盡責。」而事實也是如此,在梅姐指掌的短暫4年裡,雅虎的股價上升了254%。
至於受到資料洩露威脅的你該怎麼辦?不怎麼辦……因為這次洩露不涉及密碼,所以你改密碼也沒用。而你的名字、你的手機、你的電子郵件和那些存在雅虎系統裡的額外資料……反正4年前就丟了,丟就丟了吧。
- 本文授權轉載自:PingWest(品玩)
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!