雅虎为何出了大事 知情人:梅耶尔对安全太短视
(原标题:Defending Against Hackers Took a Back Seat at Yahoo, Insiders Say)
文/《纽约时报》NICOLE PERLROTH、VINDU GOEL
六年前雅虎的网络和电子邮件系统被黑客攻破。同时受到攻击的还有谷歌和其它一些互联网公司。
事发后作为谷歌联合创始人之一的谢尔盖・布林将攻击视为对自己企业的“技术侮辱”,随后将网络安全防卫上升到顶级。之后谷歌用六位数的天价薪资招募安全工程师,投入数亿元来升级安全防卫系统,誓言绝不会再让此类事件重演。
相比于谷歌的精进图强,雅虎显得有点后知后觉。在提升网络安保措施上动作迟缓。
当玛丽莎・梅耶尔(Marissa Mayer)在2012年接手这家颓势渐显的互联网公司时,网络安全是当时摆在她面前一摊子问题中的一个。据不愿透露姓名的雅虎员工表示,面对紧张的生存态势,梅耶尔选择了首先发展电邮和创收型产品,而作为隐患的安全问题被迫搁置。
Paranoids意思是“偏执狂”,这是雅虎安全团队在公司内部的名称。Paranoids并非不作为,不过由于雅虎领导层担忧过多的保护和审核会使本来就留存不多的用户量益加流失,所以安保部门的提议和拨款申请常常被拒绝。
领导层为他们的短视付出了代价,过去几年内雅虎接连出现数次重大安全事故。上周,雅虎被迫披露了5亿条用户信息被盗的消息。这是史上最大规模的数据泄露,雅虎称泄露应来自两年前疑似外国政府支持的网络攻击,不过时隔两年才被发现实在令人匪夷所思。目前雅虎和FBI正在联手调查此案。
近年来网络黑客猖獗,各大互联网公司的安保措施也在不断加强。相比同时代的其他互联网巨头,雅虎在安全意识方面显然是落后了。
当然雅虎这么做也有其考虑。一般来说,如果科技公司想让自己的产品更安全,势必使用更强的加密算法和更繁琐的验证步骤,而如果处理不当,这些安保措施很容易引起用户的反感。雅虎当初为了“轻便的用户体验”而犹豫不前,如今它痛失“安全的用户体验”。
雅虎一位女发言人站出来为公司辩护,称雅虎在2014年就曾投入一千万美元到加密技术的研发上,并且其对安保领域的投资在2015~2016年间也比以往增加了60% 。
“雅虎一直都有很强的安全意识,通过各种手段确保雅虎网络的可靠性和用户的隐私安全。”发言人苏珊・菲林(Suzanne Philion)说。
梅耶尔使劲所能没能扭转雅虎衰落的态势,今年7月份,雅虎宣布将自己核心资产卖与通讯巨头Verizon 。上周公布的这项信息泄露事件似是压垮梅耶尔雅虎复兴计划的最后一根稻草。目前还不清楚此次信息泄露事件是否会对收购产生影响。有传言称梅耶尔早在收购前就知晓了巨量泄露的事,不过在收购完成之后才将至公布。
电子邮件服务是雅虎最知名也是最核心的业务之一,尽管其用户忠诚度一直高居业内前列,不过近年来雅虎邮箱的竞争力不再明显。“雅虎的衰落由来已久。”高德纳安全分析师Avivah Litan说。这件事顶多像最后一把火,烧光了早已残留不多的遗产。
梅耶尔入主雅虎的时间是在2010年雅虎遭到大规模网络攻击之后。不同于谷歌义愤慨然地奋发图强,雅虎从来没有公开承认自己受到攻击。梅耶尔将更多的注意力放在发展业务追赶谷歌上。除了重推雅虎搜索与谷歌搜索硬碰硬之外,打造移动app、利用明星主播来发展视频业务都是其部署的策略。
不过梅耶尔德的大刀阔斧并未涉及网络安全领域。2010年的事件发生之后,谷歌开出巨额悬赏,奖励能够在其系统中发现漏洞的黑客。而雅虎方面直到三年后才展开类似行动。或许还是因为一次侮辱性的垃圾邮件攻击才提醒梅耶尔应该对安全上心了,可惜这已是在它们流失大量安全工程师之后对事了。
2013年斯诺登爆出的内幕称雅虎是国安局的监控大户,这让雅虎的名誉形象雪上加霜。然而尽管如此,雅虎也是整整在一年之后才招入亚历克斯・斯塔莫斯(Alex Stamos)作新任安全主管。斯塔莫斯因其对隐私的保护和反对监听而在业内为人称道。雅虎此举被认为是开始重视隐私和安全的信号。
雅虎高级副总裁杰夫・邦福特(Jeff Bonforte)在接受采访时表示,在去年十二月斯塔莫斯曾建议雅虎在所有产品中使用“端到端加密”。这种加密方式使得通信内容只有通信双方能够看到,即使是雅虎也没有办法查看通讯内容。不过邦福特拒绝了安全部长的提议。认为无法知晓用户通讯内容就没办法提供个性化推荐,同时也意味着放弃很多商机。
据雅虎员工透露,尽管面对高层的懈怠,斯塔莫斯还是将雅虎的安保提升到了新高度。在斯塔莫斯上任后,雅虎Paranoids重新夺回了自己安保团队的名声。斯塔莫斯还主导建立了安全信息交流平台Threat Exchange,与Dropbox、Facebook、Pinterest等多家公司共享信息和交流经验。
尽管这些小修小补已卓有成效,不过一旦斯塔莫斯申请拨款用于进一步建设时,梅耶尔总是回以拒绝。她对安保部门的不信任造成了人才的流逝,许多安全工程师转投苹果、Facebook和谷歌另谋发展。在数次奋争无果之后,绝望的斯塔莫斯也选择退出雅虎,加盟了Facebook。
斯塔莫斯在任时曾经提议重置所有用户的密码,这一申请遭到了梅耶尔团队的坚决反对。后者担心密码的变动会让本已不多的用户进一步流失。在上周5亿条信息泄露的消息让路人骇然之后,雅虎才委婉劝说所有用户尽快更改密码。
本周二,以帕特里克・莱希(Patrick Leahy)为代表的六名民主党参议员致信梅耶尔,要求获知2014年信息泄露事件的更多细节,以及雅虎对此事故的应对措施。另一位弗吉尼亚州民主党参议员马克・沃纳(Mark Warner)也请求证券交易委员会调查此次泄露对投资者的影响。除此之外,雅虎公司还要面对来自用户的集体诉讼。如今的梅耶尔和雅虎为其当初的短视付出了代价。