傳雅虎要求用戶重置密碼：或影響其資產出售

12月16日消息，據《華爾街日報》報道，安全專家透露，在最近披露其電子郵件服務存在安全漏洞之后，雅虎迫使一些用戶重置賬戶密碼，這可能會影響其將核心資產出售給Verizon通信公司(Verizon Communications Inc)的交易。

今年9月，雅虎曾披露另一起泄密事件，但事后雅虎沒有強制用戶重置賬戶密碼。專家表示，強制用戶重置其密碼通常會導致一些服務被用戶放棄。

這就是為什么最近披露的泄密事件對Verizon收購雅虎核心資產的交易會有更大破壞性，這項尚未完成的交易規(guī)模為48.3億美元。雅虎表示該泄密事件發(fā)生于2013年，可能有10億用戶賬戶受到影響。

消息人士表示，Verizon是否決定退出交易或要求降低收購價格，將取決于此次泄密事件對雅虎造成的損害，而這將以其旗下網站和服務的用戶數(shù)或參與程度的下滑程度來衡量。

Verizon一直計劃在明年第一季度的中期完成這項交易。消息人士稱，如果該交易獲得通過，可能會推遲到明年第一季度后期完成。

今年9月，雅虎披露，2014年底，它認為受某些國家贊助的黑客竊取了其超過5億個賬戶信息。雅虎周三表示，它不認為這兩起事件有關聯(lián)。

根據今年9月披露的消息，該公司高管向投資者暗示這次泄密不是很嚴重，部分原因是它不要求用戶重置賬戶密碼。當今年10月公布第三季度財報時，雅虎表示其用戶數(shù)和參與程度保持穩(wěn)定。

消息人士表示，現(xiàn)在雅虎迫使用戶重置其賬戶密碼，是因為2013年泄密事件中竊取的一些材料未受加密技術的保護，而其它受保護的材料采用的加密技術現(xiàn)在已被認為過時。

此前，Verizon與雅虎通過談判已經接近達成一項和解方案，涉及共同承擔因2014年泄密事件引發(fā)的相關責任，包括潛在的訴訟等。但是，此次披露的2013年泄密事件規(guī)模更大，實際上使這一談判可能要重新進行，因為Verizon需要重新評估事件對雅虎品牌破壞的嚴重程度。

安全專家表示，新披露的2013年泄密事件對用戶來說造成的麻煩特別大，因為不明身份的黑客不僅竊取了超過10億賬戶的用戶名、密碼和其他個人資料，還包括那些用戶的賬戶安全問題和答案。

通常，用戶用于賬戶安全問題的信息(例如用戶母親的婚前姓名、用戶的高中或出生地點)不會改變，并且可能被黑客用于訪問用戶其它服務的賬戶。目前受影響的人數(shù)尚不清楚，因為有些人可能擁有多個賬戶，而有些賬戶可能處于休眠狀態(tài)。

計算機安全公司SSH通信安全公司首席執(zhí)行官Tatu Ylonen表示：“即使你10年時間沒有使用你的雅虎賬戶，但你母親的娘家姓或你遇到你配偶的地點仍可能會保持不變;或者即使你的配偶變了，你母親的娘家姓仍然保持不變?！?/p>

鑒于涉及的雅虎賬戶數(shù)量寵大，專家表示黑客竊取賬戶的安全問題和答案帶來了新的風險，特別是其中一些賬戶未加密。

加拿大渥太華大學法律教授邁克爾·蓋斯特(Michael Geist)稱：“現(xiàn)在的危險不僅僅是人們的雅虎賬戶，而是從這里開始你被關注?！?/p>

安全專家指出，雅虎應該采取更多措施來保護有關安全問題數(shù)據。信息安全公司InfoArmor的首席情報官安德魯·科馬羅夫(Andrew Komarov)稱，雅虎似乎對用戶賬戶的安全問題或答案未進行加密。

科馬羅夫表示，在理想情況下，“與賬戶相關聯(lián)的元數(shù)據應該被加密?！?/p>

從本周三開始，雅虎通過電子郵件向用戶通知“可能”涉及其賬戶信息的數(shù)據安全問題。致力于隱私權保護的非營利機構Privacy Rights Clearinghouse政策和宣傳主管保羅·斯泰芬斯(Paul Stephens)指出，盡管美國各州有關告知泄露的法律不盡相同，但使用電子郵件的方式可能符合所有州政府的要求。

在發(fā)送給用戶的電子郵件中，雅虎建議用戶更改賬戶的密碼和安全問題，而其它服務賬戶的安全答案如果與雅虎賬戶相同或類似，也要采取同樣舉措。電子郵件還稱，一些用戶將被要求更改自己的賬戶密碼。

資訊整理：中國財富500強(m.cementmason.com)