用戶信息泄露咎由自???內部員工稱雅虎不重視安全

責任編輯:editor006

作者:霜葉編譯

2016-09-28 23:05:39

摘自:鳳凰科技

北京時間9月28日消息,據(jù)外媒報道,6年前,雅虎、谷歌等公司都曾遭到黑客攻擊。雅虎發(fā)言人蘇珊娜·菲林(Suzanne Philion)為雅虎的安全努力進行了辯護

北京時間9月28日消息,據(jù)外媒報道,6年前,雅虎、谷歌等公司都曾遭到黑客攻擊。此后谷歌聯(lián)合創(chuàng)始人塞吉·布林(Sergey Brin)把安全作為公司頭等大事,投入數(shù)億美元部署安全系統(tǒng),招聘數(shù)百名安全工程師,并發(fā)誓不會允許任何黑客再染指用戶賬戶。

據(jù)6名雅虎前員工以及現(xiàn)任員工稱,雅虎對安全系統(tǒng)投資則慢半拍。2012年年中出任雅虎首席執(zhí)行官時,安全就是瑪麗莎·梅耶爾(Marissa Mayer)面臨的問題之一。上述雅虎員工稱,由于需要處理的問題有許多,她選擇優(yōu)先為雅虎郵等服務打造一個更簡潔的界面、開發(fā)新產品,而非加強公司安全系統(tǒng)。

Paranoids——雅虎安全團隊內部代號,經(jīng)常會因安全成本與其他業(yè)務部門發(fā)生沖突。他們的要求也經(jīng)常會被拒絕,因為高層擔心更多安全措施帶來的不便會嚇跑用戶。

但雅虎也為其選擇付出了沉重代價,過去4年曾遭遇一系列令人尷尬的安全事故。雅虎上周披露,黑客2年前竊取了5億用戶的信息,是已知規(guī)模最大的企業(yè)黑客攻擊事件。雅虎和FBI(美國聯(lián)邦調查局)正在對此事展開調查。

雅虎的安全努力落后于銀行和其他科技巨頭。為提高系統(tǒng)安全性,企業(yè)通常必須降低產品運行速度和易用性。雅虎高管通常不愿意為安全犧牲服務速度和易用性。

雅虎發(fā)言人蘇珊娜·菲林(Suzanne Philion)為雅虎的安全努力進行了辯護,稱公司2014年初在加密技術方面投資1000萬美元,與2015年相比,2016年雅虎安全項目投資增長了60%。

上周披露的用戶信息泄露事件是梅耶爾遭遇的最新挫折。目前尚不清楚泄密事件是否會影響雅虎向Verizon出售核心互聯(lián)網(wǎng)業(yè)務的交易。

上述雅虎員工稱,在安全方面,梅耶爾反應要慢得多。2010年,谷歌開始向幫助發(fā)現(xiàn)系統(tǒng)缺陷的黑客支付報酬,3年后雅虎才啟動類似計劃,在這3年期間雅虎流失大量安全工程師,遭遇一次泄密事件和一系列安全攻擊。雅虎稱向幫助尋找系統(tǒng)安全漏洞的黑客支付了180萬美元報酬。

雅虎負責郵件和消息服務的高級副總裁杰夫·邦弗特(Jeff Bonforte)去年12月接受采訪時表示,公司首席信息安全官亞歷克斯·斯塔莫斯(Alex Stamos)及其團隊曾呼吁公司全面采用端到端加密技術。邦弗特說他沒有理睬這一呼吁,因為它會影響雅虎索引和搜索消息數(shù)據(jù)、提供新服務的能力。

在其權力范圍內,斯塔莫斯采取多種措施提高雅虎系統(tǒng)安全性,例如鼓勵工程師開發(fā)更安全的代碼、對數(shù)據(jù)中心之間的數(shù)據(jù)流量加密。但需要投入真金白銀強化雅虎安全架構時,斯特莫斯多次與梅耶爾發(fā)生沖突。梅耶爾拒絕為雅虎安全團隊提供經(jīng)費,遲遲不部署主動性安全技術。上述雅虎員工稱,過去數(shù)年,多名Paranoids員工跳槽到蘋果、Facebook和谷歌等競爭對手。

去年跳槽到Facebook的斯塔莫斯未就此置評。但在斯塔莫斯任職期間,梅耶爾拒絕采取最基本的安全措施:系統(tǒng)被攻破后自動重置所有用戶密碼,原因是擔心雅虎郵件服務用戶流失。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號