周四通知用戶兩年前遭入侵 雅虎5億帳戶資料被盜 港人中招
【明報專訊】美國科網巨擘雅虎(Yahoo)周四承認,至少有5億用戶的帳戶資料兩年前被黑客盜取,是歷來全球最大規模網絡資料外泄事件,雅虎已陸續通知受影響客戶。多名本港用戶收到雅虎電郵通知,疑被盜資料包括姓名、電郵地址、出生日期、已加密的密碼等。本港資訊保安專家呼籲,即使未收到通知亦應更改電郵密碼及啟動雙重認證,以防萬一。
促盡快重設密碼
雅虎周四(22日)開始陸續通知受影響用戶,建議所有自2014年以來未更改過密碼的用戶盡快更改密碼,並密切留意帳戶有否不尋常活動,若用戶在其他網站也使用類似密碼,也應盡快更改。
本港有多名雅虎用戶於昨日收到電郵通知資訊疑被盜。據電郵通知顯示,2014年雅虎系統被黑客入侵,用戶姓名、電郵地址、電話號碼、出生日期、加密密碼、加密或未加密的保安識別問題和答案均被盜取,但不包括未受保護密碼、銀行帳戶及信用卡資料。
雅虎香港﹕信用卡資料未受影響
雅虎香港發言人指出,這次帳號入侵事件在2014年底發生,但未有透露多少香港用戶資料外泄,發言人稱,經內部查證,香港電子商務相關交易記錄、信用卡及支付等資料皆屬獨立儲存,跟這次受影響的美國系統無關。
一名受影響本港用戶馮先生表示,所用雅虎電郵域名為「@yahoo.com」,啟用逾十年,近年棄用,昨得悉相關新聞後特意查看,發現收到雅虎的通知電郵。他指出,曾以該電郵網購,除擔心交易密碼或信息外泄外,擔心個人資料被用作不法用途,「你用作設立假帳戶也成」,他已更改密碼。
香港互聯網協會網絡保安及私隱小組召集人楊和生提醒,雅虎系統同時存有多個域名資訊,未必只限於「@yahoo.com」,即使用戶沒收到通知亦建議先改密碼及留意棄用電郵有沒受影響。他又說,事件雖於兩年前發生,但黑客消化資料需時,即使用戶至今未發現異樣,可能只是「未輪到你」。香港電腦資訊保安事故協調中心高級顧問梁兆昌指出,中心會密切留意,暫未收到相關求助。
黑客賣資料 彭博﹕雅虎7月知悉
彭博社報道,雅虎今年7月已接到黑客聲稱出售2.8億雅虎用戶資料的報告,初步調查後認為沒有證據,至今年8月,網上雜誌Motherboard披露一名自稱Peace的黑客在網上兜售盜取得來的2億雅虎用戶資料,並開價3個比特幣(約1860美元)。雅虎當時雖認為沒證據顯示銷售的資料來自其用戶,但深入調查後,發現情况遠比想像嚴重,至周四公開承認多達5億用戶受影響,佔每月活躍用戶一半。
美FBI調查 指手法似俄情報機關
美國聯邦調查局已展開調查,路透社引述3名美國情報官員稱,相信黑客攻擊背後獲國家支持,因今次攻擊模式,與之前涉及俄羅斯情報機構或其指使黑客的手法相似。雅虎稱,已配合執法部門調查,沒證據顯示黑客目前仍在雅虎網絡內。
今年7月同意以48.3億美元收購雅虎核心互聯網業務的Verizon,表示兩天前得悉雅虎被黑客入侵,正了解其影響。Verizon收購雅虎的交易預計明年首季才會完成(見另稿)。
英國薩里大學電腦安全專家伍德沃德(Alan Woodward)說:「令人憂慮的是,一宗2014年發生的入侵事件,雅虎居然這麼久也察覺不到,同樣令人吃驚的是,這個公開(承認黑客入侵)聲明也來得如此晚……我明白需要時間確認事件真偽,但花6星期看來太長了。」
■明報報料熱線﹕inews@mingpao.com / 9181 4676