NPR News:雅虎再爆10亿用户信息被盗 系史上最大安全漏洞事故

雅虎再次公布用户信息遭黑客攻击的事件。这次，雅虎估计有超过10亿用户账号资料被窃取。这是雅虎今年第二次公布大规模信息泄露事件。现在我们来连线NPR新闻的阿尔蒂·沙哈尼了解详细情况。阿尔蒂，发生了什么事？
阿尔蒂·沙哈尼连线：雅虎公司首席安全官在雅虎轻博客账号发表声明称，我知道这件事以前发生过，不过它又再次发生了。今年9月，有5亿帐户遭黑客攻击。在另一起黑客攻击中，受影响用户帐户很可能超过10亿。
被窃信息包括姓名、电子邮件地址、电话号码、出生日期、加密口令，甚至有些用户的加密或不加密的安全问题及答案也被盗，这些问题是你在上网时起保护作用的问题，包括你母亲的娘家姓氏、你第一条狗狗的名字以及你孩童时期最好朋友的名字等。
雅虎表示，这起袭击很可能发生在2013年夏季。该公司称没有财务信息被窃取。但是被盗数据仍可能产生财务影响，不是吗？如果黑客得到了你雅虎电邮中的所有信息，他们可以用这些信息入侵其他帐户。犯罪行为就是这样发生的。雅虎知道这一点。
西格尔：雅虎认为这起事件是如何发生的？
沙哈尼：有两个细节吸引了我的注意。其一，雅虎表示，未经授权的第三方接触到了他们的专有代码，学会了伪造cookies。伪造cookies之后，入侵者在无需输入密码的情况下就可以解锁用户帐号。
有意思的是，这和我们经常听到的鱼叉式网络钓鱼不同。鱼叉式网络钓鱼是指一名工作人员在不知情的情况下打开电子邮件中的附件，让网络强盗进入。而在这起事件中，黑客得到了本应该是雅虎超级秘密的代码。
其二，雅虎表示，看起来这起黑客攻击是由国家资助的。他们上次也提出了完全相同的观点。和上次一样，他们这次也没有提供证据。他们没有说，我们看到的这个代码和另一起袭击的相似，他们也没有说黑客在电子记录中留下了外语信息。他们并没有拿出任何证据。
西格尔：雅虎将被Verizon收购。Verizon公司对此有何表态？
沙哈尼：Verizon公司表示，就像我们一直在说的那样，我们将对这一情况进行评估，而雅虎则继续进行调查。Verizon公司将在得出最终结论前对这起信息泄露事件的影响进行审查。我的猜测是，不管怎么样，如果Verizon继续收购雅虎，那他们的收购价可能会远远低于最初谈好的48亿美元的报价。
西格尔：那雅虎的用户应该怎么应对？
沙哈尼：（笑）雅虎表示，他们正在同受影响用户联系，让他们了解信息被窃一事。基本程序是为受影响用户提供一年的免费信用监控。这是人们想使用的服务。用户可能还想重新考虑更改在其他账号使用的安全问题，以保证不会反映出他们在雅虎中使用的安全问题。
西格尔：阿尔蒂，雅虎说有10亿用户受影响，那这是雅虎的用户总量吗？
沙哈尼：雅虎称他们的月活跃用户有10亿，这表明有10亿人在积极使用雅虎的服务，另外其他许多人，可能是不计其数的人并没有积极使用雅虎。
我们不知道在这起帐户被盗事件中，受影响的10亿人是目前活跃的用户，还是也包括那些不再使用雅虎、转而去使用Gmail服务的人。
西格尔：好，以上是NPR新闻的阿尔蒂·沙哈尼带来的报道。阿尔蒂，谢谢。
沙哈尼：谢谢。