美國雅虎(Yahoo!)公司14日承認發生用戶個資大規模遭駭客竊取事件,影響至少10億用戶的帳戶。這是自今年9月雅虎披露至少5億用戶個資遭竊取以來,該公司發生的又一起大規模個資失竊事件。
雅虎資安長羅德(Bob Lord)在公司網站上發布「關於雅虎用戶的重要安全個資」說,這次個資失竊事件發生在2013年8月,未經授權的第三方盜取超過10億用戶帳戶個資。雅虎「無法辨認與這次失竊有關的帳戶侵入」。
Yahoo奇摩:台灣不受影響
台灣Yahoo奇摩對此回應,已經採取措施以保護用戶帳號安全,並確認台灣電子商務相關的交易記錄、信用卡及支付等資料皆獨立儲存,跟這次受到影響的美國系統無關,因此不受影響。
羅德說,失竊的用戶個資包括姓名、電子郵件地址、電話號碼、生日等,可能還包括加密或未加密的安全提示問題及答案。他還說,調查顯示失竊個資不包括登錄密碼、信用卡資料和銀行帳戶個資,它們並不儲存在遭入侵的雅虎系統。
姓名、電子郵件地址、電話號碼、生日……
羅德說,雅虎與外部刑事鑑議專家正在調查偽造的網路跟蹤軟體是如何創製的,這類記錄上網用戶個資的軟體可能使入侵者在沒有登錄密碼的情況下進入用戶帳戶。根據調查發現,雅虎認為有未經授權的第三方獲取雅虎的專利代碼,從而知道如何偽造網路跟蹤軟體。
他還說,外部司法鑑定專家已經確認了那些受偽造的網路跟蹤軟體影響的用戶帳戶,雅虎已經通知這些帳戶持有人,並使偽造的網路跟蹤軟體、未加密安全提示問題及其答案失效。
今年9月雅虎承認2014年下半年發生至少5億用戶相關個資遭人竊取,失竊個資類別與最新披露的個資失竊事件類似。羅德說兩者之間「可能有區別」,但9月份披露的個資失竊事件據是由特定國家支持的入侵者所為,這次個資失竊事件中的某些行為與同樣的入侵者有關聯。
與上次個資失竊事件的應對措施相似,雅虎已經向個資可能失竊的用戶發送電子郵件,並在網站上發布安全上網建議,包括更改使用與雅虎帳戶相似個資的其他任何帳戶的登錄密碼和安全提示問題及其答案,謹慎對待任何尋求用戶個人個資的不明來源電子通信,不要打開可疑郵件中的鏈結和附件等。
用戶應更改密碼及安全驗證問題、答案
台灣Yahoo鼓勵用戶採取以下安全建議:用戶的其他帳號如果使用與Yahoo帳號相同或類似的資訊,建議用戶也更改其他帳號的密碼及安全驗證問題與答案;檢查帳號是否有可疑的活動;留意是否有任何不明來源的訊息詢問個人資訊,或是引導至任何詢問個人資訊的網頁;避免在可疑的電子郵件中點選連結或下載附件。此外,Yahoo也建議用戶使用Yahoo動態密碼認證服務。
雅虎總部位於加州矽谷地區桑尼維爾(Sunnyvale),20世紀90年代一度是網際網路時代標誌性創新企業,但最近10多年逐漸落伍。今年7月下旬,雅虎與美國電信業鉅子威訊(Verizon)商定,以48億3000萬美元(新台幣1525億元)出售核心事業,預計2017年第一季完成交易,與威訊旗下的美國線上(AOL)合併。
