传雅虎要求用户重置密码:或影响其资产出售
12月16日消息,据《华尔街日报》报道,安全专家透露,在最近披露其电子邮件服务存在安全漏洞之后,雅虎迫使一些用户重置账户密码,这可能会影响其将核心资产出售给Verizon通信公司(Verizon Communications Inc)的交易。
今年9月,雅虎曾披露另一起泄密事件,但事后雅虎没有强制用户重置账户密码。专家表示,强制用户重置其密码通常会导致一些服务被用户放弃。
这就是为什么最近披露的泄密事件对Verizon收购雅虎核心资产的交易会有更大破坏性,这项尚未完成的交易规模为48.3亿美元。雅虎表示该泄密事件发生于2013年,可能有10亿用户账户受到影响。
消息人士表示,Verizon是否决定退出交易或要求降低收购价格,将取决于此次泄密事件对雅虎造成的损害,而这将以其旗下网站和服务的用户数或参与程度的下滑程度来衡量。
Verizon一直计划在明年第一季度的中期完成这项交易。消息人士称,如果该交易获得通过,可能会推迟到明年第一季度后期完成。
今年9月,雅虎披露,2014年底,它认为受某些国家赞助的黑客窃取了其超过5亿个账户信息。雅虎周三表示,它不认为这两起事件有关联。
根据今年9月披露的消息,该公司高管向 投资 者暗示这次泄密不是很严重,部分原因是它不要求用户重置账户密码。当今年10月公布第三季度财报时,雅虎表示其用户数和参与程度保持稳定。
消息人士表示,现在雅虎迫使用户重置其账户密码,是因为2013年泄密事件中窃取的一些材料未受加密技术的保护,而其它受保护的材料采用的加密技术现在已被认为过时。
此前,Verizon与雅虎通过谈判已经接近达成一项和解方案,涉及共同承担因2014年泄密事件引发的相关责任,包括潜在的诉讼等。但是,此次披露的2013年泄密事件规模更大,实际上使这一谈判可能要重新进行,因为Verizon需要重新评估事件对雅虎品牌破坏的严重程度。
安全专家表示,新披露的2013年泄密事件对用户来说造成的麻烦特别大,因为不明身份的黑客不仅窃取了超过10亿账户的用户名、密码和其他个人资料,还包括那些用户的账户安全问题和答案。
通常,用户用于账户安全问题的信息(例如用户母亲的婚前姓名、用户的高中或出生地点)不会改变,并且可能被黑客用于访问用户其它服务的账户。目前受影响的人数尚不清楚,因为有些人可能拥有多个账户,而有些账户可能处于休眠状态。
计算机安全公司SSH通信安全公司首席执行官Tatu Ylonen表示:“即使你10年时间没有使用你的雅虎账户,但你母亲的娘家姓或你遇到你配偶的地点仍可能会保持不变;或者即使你的配偶变了,你母亲的娘家姓仍然保持不变。”
鉴于涉及的雅虎账户数量宠大,专家表示黑客窃取账户的安全问题和答案带来了新的风险,特别是其中一些账户未加密。
加拿大渥太华大学法律教授迈克尔·盖斯特(Michael Geist)称:“现在的危险不仅仅是人们的雅虎账户,而是从这里开始你被关注。”
安全专家指出,雅虎应该采取更多措施来保护有关安全问题数据。信息安全公司InfoArmor的首席情报官安德鲁·科马罗夫(Andrew Komarov)称,雅虎似乎对用户账户的安全问题或答案未进行加密。
科马罗夫表示,在理想情况下,“与账户相关联的元数据应该被加密。”
从本周三开始,雅虎通过电子邮件向用户通知“可能”涉及其账户信息的数据安全问题。致力于隐私权保护的非营利机构Privacy Rights Clearinghouse政策和宣传主管保罗·斯泰芬斯(Paul Stephens)指出,尽管美国各州有关告知泄露的法律不尽相同,但使用电子邮件的方式可能符合所有州政府的要求。
在发送给用户的电子邮件中,雅虎建议用户更改账户的密码和安全问题,而其它服务账户的安全答案如果与雅虎账户相同或类似,也要采取同样举措。电子邮件还称,一些用户将被要求更改自己的账户密码。
【 来源: 网易科技 】