用户信息泄露咎由自取?内部员工称雅虎不重视安全
曾担任雅虎首席信息安全官的亚历克斯·斯塔莫斯
凤凰科技讯 北京时间9月28日消息,据外媒报道,6年前,雅虎、谷歌等公司都曾遭到黑客攻击。此后谷歌联合创始人塞吉·布林(Sergey Brin)把安全作为公司头等大事,投入数亿美元部署安全系统,招聘数百名安全工程师,并发誓不会允许任何黑客再染指用户账户。
据6名雅虎前员工以及现任员工称,雅虎对安全系统投资则慢半拍。2012年年中出任雅虎首席执行官时,安全就是玛丽莎·梅耶尔(Marissa Mayer)面临的问题之一。上述雅虎员工称,由于需要处理的问题有许多,她选择优先为雅虎邮等服务打造一个更简洁的界面、开发新产品,而非加强公司安全系统。
Paranoids——雅虎安全团队内部代号,经常会因安全成本与其他业务部门发生冲突。他们的要求也经常会被拒绝,因为高层担心更多安全措施带来的不便会吓跑用户。
但雅虎也为其选择付出了沉重代价,过去4年曾遭遇一系列令人尴尬的安全事故。雅虎上周披露,黑客2年前窃取了5亿用户的信息,是已知规模最大的企业黑客攻击事件。雅虎和FBI(美国联邦调查局)正在对此事展开调查。
雅虎的安全努力落后于银行和其他科技巨头。为提高系统安全性,企业通常必须降低产品运行速度和易用性。雅虎高管通常不愿意为安全牺牲服务速度和易用性。
雅虎发言人苏珊娜·菲林(Suzanne Philion)为雅虎的安全努力进行了辩护,称公司2014年初在加密技术方面投资1000万美元,与2015年相比,2016年雅虎安全项目投资增长了60%。
上周披露的用户信息泄露事件是梅耶尔遭遇的最新挫折。目前尚不清楚泄密事件是否会影响雅虎向Verizon出售核心互联网业务的交易。
上述雅虎员工称,在安全方面,梅耶尔反应要慢得多。2010年,谷歌开始向帮助发现系统缺陷的黑客支付报酬,3年后雅虎才启动类似计划,在这3年期间雅虎流失大量安全工程师,遭遇一次泄密事件和一系列安全攻击。雅虎称向帮助寻找系统安全漏洞的黑客支付了180万美元报酬。
雅虎负责邮件和消息服务的高级副总裁杰夫·邦弗特(Jeff Bonforte)去年12月接受采访时表示,公司首席信息安全官亚历克斯·斯塔莫斯(Alex Stamos)及其团队曾呼吁公司全面采用端到端加密技术。邦弗特说他没有理睬这一呼吁,因为它会影响雅虎索引和搜索消息数据、提供新服务的能力。
在其权力范围内,斯塔莫斯采取多种措施提高雅虎系统安全性,例如鼓励工程师开发更安全的代码、对数据中心之间的数据流量加密。但需要投入真金白银强化雅虎安全架构时,斯特莫斯多次与梅耶尔发生冲突。梅耶尔拒绝为雅虎安全团队提供经费,迟迟不部署主动性安全技术。上述雅虎员工称,过去数年,多名Paranoids员工跳槽到苹果、Facebook和谷歌等竞争对手。
去年跳槽到Facebook的斯塔莫斯未就此置评。但在斯塔莫斯任职期间,梅耶尔拒绝采取最基本的安全措施:系统被攻破后自动重置所有用户密码,原因是担心雅虎邮件服务用户流失。(编译/霜叶)