美国雅虎公司14日承认发生用户信息失窃事件,可能影响至少10亿用户的账户。这是自今年9月雅虎披露至少5亿用户信息遭窃取以来,该公司发生的又一起大规模信息失窃事件。
雅虎首席信息安全官鲍勃·洛德在公司网站上发布“关于雅虎用户的重要安全信息”说,这次信息失窃事件发生在2013年8月,未经授权的第三方盗取超过10亿用户账户信息。雅虎“无法辨认与这次失窃有关的账户侵入”。
洛德说,失窃的用户信息可能包括姓名、电子邮件地址、电话号码、生日等,一些情况下还包括加密或未加密的安全提示问题及答案。他还说,调查显示失窃信息不包括登录密码、支付卡数据和银行账户信息,它们并不储存在遭入侵的雅虎系统里。
洛德说,雅虎与外部司法鉴定专家正在调查伪造的网络跟踪软件是如何创制的,这类记录上网用户信息的软件可能使入侵者在没有登录密码的情况下进入用户账户。根据调查发现,雅虎认为有未经授权的第三方获取了雅虎的专利代码,从而知道如何伪造网络跟踪软件。
他还说,外部司法鉴定专家已经确认了那些受伪造的网络跟踪软件影响的用户账户,雅虎已经通知这些账户持有人,并使伪造的网络跟踪软件、未加密安全提示问题及其答案失效。
雅虎在9月承认2014年下半年发生至少5亿用户相关信息遭人窃取,失窃信息类别与最新披露的信息失窃事件类似。洛德说两者之间“可能有区别”,但9月份披露的信息失窃事件据认为是由国家支持的入侵者所为,这次信息失窃事件中的某些行为与同样的入侵者有关联。
与上次信息失窃事件的应对措施相似,雅虎已经向个人信息可能失窃的用户发送电子邮件,并在网站上发布安全上网建议。
雅虎总部位于加州硅谷地区森尼韦尔市,最近10多年逐渐在信息技术潮流中落伍。今年7月下旬,雅虎与美国韦里孙通信公司商定,以48.3亿美元现金出售所有运营业务,预计2017年第一季度完成交易,随后转型为一家投资机构。
(责编:孙博洋、杨迪)