紐約時報:Yahoo 被爆曾與 Google 一同被中國網軍駭,但後續資安防護發展卻大不相同
6 年前 Google 遭到中國國家駭客攻擊,但其實那次事件還有個大目標並未揭露,那就是 Yahoo。紐約時報的調查報導,發現 Yahoo 也被攻擊,但直到最近大家才知曉,對於廣大的 Yahoo 用戶以及 Yahoo 新買主 Verizon 來說,可真不是好消息。
沒有公司不曾被駭客入侵,但要時時武裝自身以應付想盡辦法入侵的駭客。根據紐約時報的消息匿名來源指出,舉其他公司的例子,同樣被國家級駭客盯上而且得手的 Google,Google 共同創辦人 Sergey Brin 就矢志將資安放在第一位,積極招募有能力的資安專家。Google 聘雇上百位資安專長的人,簽約時就有 6 位數美元的簽約金,投資上百萬在資安設備上面,並且內部的口號「不要再發生」,提醒在這邊工作的人要盡全力防堵可能的資安漏洞。
相比之下,Yahoo 的作為既比不上 Google,跟其他矽谷公司比較,也達不到他們的平均水準。當 Marissa Mayer 在 2012 年掌管 Yahoo 時,她有相當多急需要做的事情,其中包括強化資安。但 Mayer 選擇比較容易看到成果的部分,像是推出簡潔介面的 Yahoo 郵件服務,這些看得到的 UI 改變,而不是很難看出改變的強化產品的資安防護。
Yahoo 內部的資安團隊,代號「Paranoids」常常為了確保資安的立場,而必須與其他部門爭執。其他業務部門往往因為怕額外增加的資安保護措施,會增加使用者不便,而放棄使用 Yahoo 服務。Paranoids 團隊提出方案往往被否絕。Yahoo 如此對資安的態度,會接二連三發生外洩事件也不足為奇了。最近一次 Yahoo 的資安漏洞是上周的事情,有 5 億用戶資料外洩,為單一公司最大資安外洩事情。
為了確保電腦系統安全,常常必須讓產品的速度和使用難度增加,但 Yahoo 不願意因此得罪使用者。另外,Yahoo 為避免用戶被驚擾,也沒有啟用大規模重設機制,讓受影響的帳戶有未授權的使用,避免災情擴大。
直到史諾登揭露國家大規模監視人民,Yahoo 是 NSA 經常破解侵入的主要目標。過了一年多,Yahoo 才聘雇新的首席資訊安全長 Alex Stamos,算是象徵 Yahoo 要好好看重資安。
Yahoo 負責郵件和即時通軟體的資深副總裁 Jeff Bonforte,曾在去年 12 月的訪問中,提到 Stamos 主張要引進點對點加密,意味所有從 Yahoo 出去和進來的連線都要加密。這導致服務提供商 Yahoo 也讀不到使用者的資訊。Bonforte 反對這麼做,因為無法索引使用者資料,不能從中發展新服務。
Stamos 還從他部門建立一隻專門檢驗程式碼,寫出更安全的程式碼的團隊,並且著手建立資料中心之間的加密連線。另外還建立「紅隊」攻擊自家服務找出漏洞,並與其他業者分享資訊,像是由 Yahoo、Dropbox、臉書、Pinterest 等公司組成的 Threat Exchange 分享資安資訊。
但當 Stamos 爭取預算添購設備時,Mayer 卻潑 Stamos 冷水,另外還撤除主動資安防禦,像是 Yahoo 產品的入侵偵測機制。
Yahoo 在資安這塊缺乏投資,使得在與同一等級公司的人才爭奪搶輸別人。最後 Paranoids 團隊成員陸陸續續被其他競爭公司如 Google、臉書、蘋果挖走,Stamos 也離開 Yahoo 前往臉書任職。
目前還不太知道 Yahoo 曾被中國網軍攻擊這件事情,會對已經很慘的 Yahoo 造成什麼影響,因為慘劇早已發生多起,不差這次提起 6 年前的成年往事,以及上周超大規模的資料外漏事件。美國國會議員則看準這些事件,質問 Yahoo 知道什麼,又是何時知道被駭的事情。除了面臨與 Verizon 旗下 AOL 整併的事,還有多起因資安漏洞引起的民事訴訟正等著 Yahoo 處理。
民事訴訟正等著 Yahoo 處理?只要把Yahoo賣給別人,或是宣布倒閉,這樣就不用處理了!