走向沒落的上一代網路鉅子雅虎(Yahoo!)屋漏偏逢連夜雨,22日宣布該公司在2014年遭到駭客入侵攻擊,至少5億名使用者的資料遭到竊取,規模之大史無前例,而發動者顯然是受到特定國家指使(state-sponsored actor)。雅虎2個月前好不容易才為自己找到買家,此一「噩耗」可能造成大批使用者出走,對併購交易造成衝擊。
駭客竊取的資料包括使用者姓名、電郵、電話、出生日期、加密處理過的密碼、使用者自設的安全問題與答案。但是未加密的密碼、信用卡付款資料與銀行帳戶資料原封未動,堪稱不幸中的大幸。部分(約2億筆)資料可能已被一名代號「和平」(Peace)的駭客送上網路兜售。亡羊補牢,雅虎建議使用者更改密碼。
美國聯邦調查局(FBI)已經展開調查,《路透》引述3位美國情報官員的話說,從雅虎事件的攻擊模式來看,類似俄羅斯情報機構及其指使駭客的手法。
著名密碼學家許奈爾(Bruce Schneier)表示,目前還難以評估雅虎使用者到底受到多大傷害,因為許多關鍵問題仍有待回答,包括所謂「特定國家」到底是哪一國。
雅虎近年家道中落,欲振乏力,高薪聘請的執行長梅爾(Marissa Mayer)無力回天,成為末代執行長。今年7月25日,雅虎同意將核心事業以48億3000萬美元(新台幣1525億元)、遠低於全盛時期市值的價碼賣給美國電信業威訊(Verizon),未來將與威訊旗下的美國線上(AOL)合併。
《路透》引述分析師佩克(Robert Peck)與律師卡波尼(Steven Caponi)的說法認為,這起事件應該不至於讓威訊從談好的交易縮手,但價碼可能縮水1億至2億美元,決定於有多少使用者從此離開雅虎。威訊方面表示,他們兩天前場得知此事,目前正在評估狀況。
知名網路安全專家卡明斯基(Dan Kaminsky)指出,大規模駭客攻擊行動近年此起彼落,但雅虎事件可能是一道分水嶺,促使政府與業者全面加強網路防禦。美國連鎖零售業者家得寶(Home Depot)與達吉特(Target)、醫療保險集團Anthem與Premera Blue Cross,都是知名受害者。
雅虎事件之前,網路史上規模最大的駭客入侵行動發生在2013年,苦主是上一代社群網站龍頭Myspace,3億6000萬使用者個資遭竊。