摘要：日前据悉，雅虎公司的用户数据在2014年就已经泄露，至少有5亿个用户的个人信息泄露。

     日前据悉，雅虎公司的用户数据在2014年就已经泄露，至少有5亿个用户的个人信息泄露。
　　
　　这次黑客攻击被认为是目前公开报道的最大的一次数据泄露事件，超过了MySpace公司2008年泄露3.59亿用户的详细信息的事件。
　　
　　雅虎公司也被人们批评为安全流程松懈，采取这么长时间来检测，并在内部确认违约行为，却未能加密所有的安全问题和答案。
　　
　　英国隐私监管机构信息专员办公室（ICO）已表示，它将调查雅虎数据泄露事件的突破口，并了解其对英国公民的影响。
　　
　　信息专员伊丽莎白•德纳姆表示，遭受数据泄露的人数是“惊人的”，并演示了黑客所带来的后果有多么严重。
　　
　　“美国当局将追查黑客，但我们的工作要求代表英国公民要求雅虎公司严肃处理这样的问题。”
　　
　　“我们还不知道黑客如何破解所有发生的细节，但这是对那些获取和处理个人数据的企业是一个发人深省的和重要的信息。人们的个人信息必须被安全地保护，而关键必须是不可能让黑客发现。”她说。
　　
　　雅虎公司数据泄露事件的第一个公开迹象出现在2016年8月，据报道，一个名为“Peace”的黑客试图出售2亿个雅虎账户的数据。
　　
　　雅虎公司这个互联网巨头目前已经证实“最近的调查”显示，被盗数据可能包括公民的姓名，电子邮件地址，电话号码，出生日期，密码，以及一些加密或未加密的安全问题和答案。其调查结果表明，泄露的数据似乎并没有包括支付卡数据，或银行帐户信息。
　　
　　雅虎公司表示，这种数据泄露行为似乎来自于某些国家支持的行为，但没有证据表明黑客仍然潜伏在雅虎公司内部网络，而雅虎公司正在与执法部门开展密切合作。
　　
　　该公司正在通知所有可能受到影响的用户，并敦促他们更改密码，并考虑使用雅虎提供的帐号密钥，认证工具，旨在消除密码的漏洞。
　　
　　更多的数据泄露
　　
　　•行业专家表示必须关注网络安全的关键数据，很多公司被外部黑客攻击。
　　
　　•400多家企业高管表示对于数据泄露，许多企业都准备不足。
　　
　　•安全漏洞的问题导致英国公众越来越担心个人信息安全，并呼吁对敏感信息采取24小时监控。
　　
　　•考虑到任何一家公司在任何时候可能发生数据泄漏生，因此制定计划开始行动是最好的策略。
　　
　　专家建议受潜在影响的那些用户改变他们的密码和安全问题和答案，而在任何其他的雅虎帐户不要使用相同的信息。
　　
　　雅虎已经将那些未加密的安全问题和答案作废，因此一些用户不能访问帐户。
　　
　　“如今，日益互联的世界面临日益复杂的威胁。行业、政府和用户都成为了黑客的靶子。”雅虎公司首席信息安全官鲍勃•罗德说。
　　
　　“通过战略主动检测计划，以及对账目未经授权的访问的积极响应，雅虎将继续努力保持领先地位，应对这些不断变化的网络威胁，并让我们的用户和平台保持安全。”他在博客中写道。
　　
　　企业必须“从错误中吸取教训”
　　
　　虽然雅虎公司已经确认数据泄露发生在2014年底，Blink数字安全机构高级安全研究员科尔顿•埃文斯表示，还该公司并没有明确是什么时候意识到发生了问题。
　　
　　“如果这事发生在2014年，该公司已经在过去的两年中知道发生了什么，那么为什么雅虎公司经过这么长时间才对外披露？这种缓慢的反应可能会成为该公司的公关噩梦，将会严重损害雅虎公司的声誉。”他说。
　　
　　“这正好说明确定发生攻击的根本原因是多么困难，而为了确定发生在过去的几个月甚至几年的事件，没有合适的措施和工具是遭到黑客攻击的根本原因。”
　　
　　埃文斯说，在这个事件中可以明确的一点是，所有企业都需要从雅虎的错误中吸取教训，需要更快的工具来调查违规事件。
　　
　　“市场上各厂商推出的设备，有助于自动化和加快取证过程，但没有一家公司能达到雅虎公司的规模，数据泄露发生发生几个月却没有足够的信息或纠正行动计划。”埃文斯说。
　　
　　AppRiver公司安全研究经理特洛伊•吉尔说：“可悲的现实是，当雅虎公司涉及到保护客户的数据时，已经措手不及，我不认为已经看到最后的补救措施。事实上，随着技术渗透到我们生活的每个方面，我们只是打开了大门，而这些类型的事件将会更加频繁，并极有可能更具冲击力。”
　　
　　“我很想知道雅虎的调查结果，他们宣称调查在黑暗网络上销售的2亿条记录，而这些记录证实是有效的吗？如果是这样，为什么要花这么长的时间才通知用户？为什么在发布之前没有强制重置密码？保持客户的数据安全应该是所有企业的优先事项。技术高超的黑客行为可能很难检测，但组织需要承诺应对这些类型的攻击。这次事件对所有组织是一次严重警告，没无论那些公司有着什么样的业务的目标。”他说。
　　
　　无知不是答案
　　
　　Securonix公司首席信息安全官和首席安全策略主管迈克尔•里平斯基表示，雅虎公司的数据泄露就是最好的一个例子，而一些组织已经被黑客攻击，但自己却不知道。
　　
　　“我们不能让接受这一水平的无知行为，因为该公司可以做的更好。”他补充说，他不相信雅虎公司花了两年时间才找到突破口。
　　
　　“在Verizon公司的收购过程中，就进行了所谓的尽职调查。由于尽职调查，这个事件最近才渐渐明朗，我相信有人早就知道了。”里平斯基说。
　　
　　“我们不知这个事件是否被掩盖，但如果不是这样，那么雅虎团队在这两年的时间中，不能够及时识别这个问题，对于业务来说一个巨大的失败。”他说。
　　
　　里平斯基说，雅虎的安全团队似乎想转移风险给用户，并让用户使用BCrypt哈希密码。
　　
　　“专家发现他们在使用相同的哈希密码，而黑客似乎发现破解其密码的暴力破解方法。”他说。
　　
　　日常的安全实践
　　
　　DelphiX公司欧洲战略主管杰斯•布莱斯劳表示，雅虎公司的数据泄露事件强调了强大的数据安全对于日常实践的重要性。
　　
　　“我们一次又一次地看到了数据泄露的广泛影响。消费者信心受到打击，企业名誉扫地，而客户要求那些组织负责。”他说。
　　
　　“然而，全球有了越来越多这样的丑闻，我们的研究表明在英国，四分之一数据泄露事件被被掩盖。传统上，组织是非常善于采取措施，以保护他们业务系统中的数据，如他们的网站，但却在IT测试和事件发生时，疏于保护他们在非生产环境中的敏感信息。
　　
　　“在一个不断变化的威胁环境中，具有数据保护意识的组织需要确保数据安全嵌入到日常实践中。我们需要的是一个不可逆过程，混淆个人信息，但确保虚拟数据仍然可用，所以企业可以优先考虑安全，但要确保发展进程将继续畅通无阻。
　　
　　“人们积极拥抱新技术，包括那些数据屏蔽结合数据虚拟化，确保企业可以一次性备份数据，并保证所有后续副本应用了相同的保护政策。这将使面向未来的业务从昂贵的数据泄露解脱出来，并确保严格遵守规定，同时提高安全性和灵活性。”布莱斯劳说。
　　
　　编辑：Harris