美國先前要求科技龍頭「蘋果公司」解碼用戶手機,協助調查加州槍擊案凶嫌犯案動機,引發保障用戶隱私及維護國家安全取捨爭議,不過現在傳出老牌網路公司「雅虎」(Yahoo)曾在2015年依美國情報機構要求,編寫一套程式來監視數億用戶的電子信箱,對此指控,雅虎僅簡短表示:「雅虎是間守法公司,遵守美國法律規定。」
Report: @Yahoo Secretly Built Spying Software to Search Customer Emails for #NSA #FBIhttps://t.co/hW4thf2PO9@nikkitur @RacySicilian pic.twitter.com/x67r7N7fgo
— Tim Gradous (@tgradous) 2016年10月5日
《路透》引述3名雅虎離職員工及1名知悉此事者說法稱,這項監視用戶電郵行動是依據美國國家安全局(NSA)或聯邦調查局(FBI)的指示,但因NSA通常會透過FBI來向其他單位索取情報監控的資料,因此尚不能確定該指示是由NSA或FBI提出。
這項監視行動中,雅虎搜索用戶信件是否包含敏感字串或是附件,以提供給美國情報官員。專家稱不曾見過如此大規模的情報蒐集,需要特別設計程式也是前所未見。不過目前仍不清楚雅虎當時搜尋的關鍵詞為何、是否有向情報機構交出資料,情報機構是否有向其他電子郵件公司提出類似要求也不得而知。
Yahoo's email scandal just keeps going deeper--the tech giant spied on our emails! https://t.co/U2BqOrSWnY #yahoo #cybersecurity #spy pic.twitter.com/5BqcHEQbdl
— R.M.A. Spears (@RMASpears) 2016年10月5日
未戰先降?雅虎疑放棄保障用戶隱私
根據美國在2008年修訂的《外國情報通訊監察法》(Foreign Intelligence Surveillance Act,FISA)第702項增修條文,司法部長與國家情報總監(Director of National Intelligence)可聯合授權針對美國境外情報相關目標進行蒐查,且有權向手機或網路公司索取客戶資料,用於從事反恐等活動。
不過手機或網路公司也有權向美國的外國情報監控法院(Foreign Intelligence Surveillance Court)提出申訴,抗拒情報機構的指示。FISA專家就指出,雅虎當時至少可就「郵件搜索範圍」、「另寫搜尋程式的必要性」兩方面提出反對意見,但雅虎並沒有,而《路透》表示,雅虎認為毫無勝算,因此放棄申訴。
Yahoo's email spying was authorized under foreign intelligence law set to expire next year https://t.co/WuFgmOoHSA
— Daily Mail US (@DailyMail) 2016年10月6日
執行長梅爾下令監視 資訊安全長憤而離職
2位雅虎前員工透露,雅虎執行長梅爾(Marissa Mayer)當時同意監視用戶信箱,讓許多高階主管不滿,還讓時任資訊安全長史塔莫斯(Ales Stamos)離職。史塔莫斯現在是知名社群網站「臉書」(Facebook)的安全長,而他拒絕對雅虎監視用戶事件發表評論。
離職員工表示,梅爾當時並未和公司的安全團隊討論,反而逕向電子郵件工程師要求編寫監控程式,並儲存情報機構要求的相關郵件。安全團隊後來才發現該程式的存在,起先還以為是遭駭客入侵。史塔莫斯知悉此事後便提交辭呈,並告訴下屬,「自己被排除在這侵害用戶資安的決策之外」,還說該程式的編寫有瑕疵,駭客將有辦法讀取那些儲存的郵件。