美國網路巨擘雅虎(Yahoo)在9月下旬證實,2014年底遭到「由國家支持」的駭客攻擊,有逾5億用戶個資遭竊,成為史上最大規模的個資入侵案。不過,根據Businessinsider引述雅虎前高階主管爆料內容,實際災情可能遠超過官方透露數字,估計超過10億個帳戶。

早在數個月就傳出雅虎遭到駭客大規模攻擊消息,後來2.8億筆雅虎用戶名稱及密碼出現在網路上兜售,迫使公司展開調查。雅虎表示,失竊的資料可能包括用戶姓名、電子郵件地址、出生日期,以及加密密碼,還有加密的安全問題與答案,可能有利駭客侵入受害者的其他網路帳戶。

根據Businessinsider報導,一位了解雅虎安全措施,而且一直與雅虎內部員工頻繁保持聯絡的前高階主管透露,從雅虎後端系統的基礎架構部署情況來看,「我認為被駭客竊取的用戶帳號數量遠遠超過該公司先前公布的數量。」「他們如何得出5億這個數據,的確很神秘。」

該前高管透露,雅虎所有產品都使用一個主要用戶數據庫(UDB)來識別用戶,那些使用雅虎郵箱、雅虎財經、雅虎體育等的用戶輸入帳號及密碼後,用戶數據庫會確認帳密是否合法,以允許用戶使用雅虎產品及服務。以駭客攻擊的時間點為例,每月約有7億到10億的活躍用戶。

到底駭客對這個數據庫的破壞程度有多大?或者實際盜取多少用戶帳號?目前尚不明確。但據雅虎執行長Marissa Mayer在2013年底公布的數據,該公司全球單月活躍用戶數量約8億個,而如今可能達到10多億個。這位雅虎前高管預計,遭竊的雅虎用戶帳號數量或許在10億至30億個間。

Businessinsider報導,雅虎拒絕透露向受影響用戶發送駭客破壞通知郵件的具體數量,也未透露遭竊的5億用戶帳號如何被認定。有人認為,駭客集團可能已經進入數據庫,但尚未盜取其中的任何內容,讓用戶仍然信任雅虎的正式帳號,這種說法聽上去似乎也非常合理。

(中時電子報)

#駭客 #雅虎