2013 年,雅虎 10 亿用户信息被盗 ;2014 年, 5000 万账户失窃 ;2015 年、2016 年,黑客利用雅虎 Cookie 漏洞入侵 。虽然雅虎内部现在已经提高了资讯安全意识——Marissa Mayer 把她的工作重心放在了数据安全,雅虎首席信息安全官 Bob Lord 每周都会给员工发布安全短期报告——但美国政界依然对他们的处理方法表示不满。本月初,雅虎取消了与美国参议院商业科技运输委员会关于数据泄漏事件的听证会,参议员 John Thune 与 Jerry Moran 立即要求雅虎提供相关安全问题的 具体解答 。今天,雅虎给出了一些问题的正式解答。
雅虎与执法机构的合作相当紧密,和包括联邦、州和国外政府机构。 在 10 亿用户信息泄漏事件里,雅虎只是表示是通过某执法机构了解到了情况。
2014 年的 5000 万失窃账户,大多数也出现在 2013 年的泄漏名单里。 此前雅虎并没有对具体受影响的总用户数作出回应。
雅虎雇佣了一位风险管理高管,但是不愿透露这位高管的姓名。
雅虎正在壮大安全部门,可以更有可能识别有国家背景的黑客。 雅虎认为 2013 年的 10 亿用户事件和后来的 Cookie 攻击都是由政府背景的黑客发起。目前雅虎已经加入 美国国家标准技术研究所的网络安全框架 ,增强识别黑客和查找漏洞能力。
雅虎希望由参与黑客事件的调查人员组成的委员会参与参议院质询,而不是雅虎的任何一名员工。 在 Verizon 收购案完成之前,雅虎希望自己的雇员低调一些。
雅虎当年并不知晓 2013 年发生的数据泄漏(2016 年才被执法机构通知公开),但是 2014 年的泄漏是当年就发现的。 但雅虎并没有解释为什么隐瞒了两年才公布。
本文来自开源中国社区 [http://www.oschina.net]
