用户信息泄露咎由自取？内部员工称雅虎不重视安全

曾担任雅虎首席信息安全官的亚历克斯·斯塔莫斯

凤凰科技讯 北京时间9月28日消息，据外媒报道，6年前，雅虎、谷歌等公司都曾遭到黑客攻击。此后谷歌联合创始人塞吉·布林(Sergey Brin)把安全作为公司头等大事，投入数亿美元部署安全系统，招聘数百名安全工程师，并发誓不会允许任何黑客再染指用户账户。

据6名雅虎前员工以及现任员工称，雅虎对安全系统投资则慢半拍。2012年年中出任雅虎首席执行官时，安全就是玛丽莎·梅耶尔(Marissa Mayer)面临的问题之一。上述雅虎员工称，由于需要处理的问题有许多，她选择优先为雅虎邮等服务打造一个更简洁的界面、开发新产品，而非加强公司安全系统。

Paranoids——雅虎安全团队内部代号，经常会因安全成本与其他业务部门发生冲突。他们的要求也经常会被拒绝，因为高层担心更多安全措施带来的不便会吓跑用户。

但雅虎也为其选择付出了沉重代价，过去4年曾遭遇一系列令人尴尬的安全事故。雅虎上周披露，黑客2年前窃取了5亿用户的信息，是已知规模最大的企业黑客攻击事件。雅虎和FBI(美国联邦调查局)正在对此事展开调查。

雅虎的安全努力落后于银行和其他科技巨头。为提高系统安全性，企业通常必须降低产品运行速度和易用性。雅虎高管通常不愿意为安全牺牲服务速度和易用性。

雅虎发言人苏珊娜·菲林(Suzanne Philion)为雅虎的安全努力进行了辩护，称公司2014年初在加密技术方面投资1000万美元，与2015年相比，2016年雅虎安全项目投资增长了60%。

上周披露的用户信息泄露事件是梅耶尔遭遇的最新挫折。目前尚不清楚泄密事件是否会影响雅虎向Verizon出售核心互联网业务的交易。

上述雅虎员工称，在安全方面，梅耶尔反应要慢得多。2010年，谷歌开始向帮助发现系统缺陷的黑客支付报酬，3年后雅虎才启动类似计划，在这3年期间雅虎流失大量安全工程师，遭遇一次泄密事件和一系列安全攻击。雅虎称向帮助寻找系统安全漏洞的黑客支付了180万美元报酬。

雅虎负责邮件和消息服务的高级副总裁杰夫·邦弗特(Jeff Bonforte)去年12月接受采访时表示，公司首席信息安全官亚历克斯·斯塔莫斯(Alex Stamos)及其团队曾呼吁公司全面采用端到端加密技术。邦弗特说他没有理睬这一呼吁，因为它会影响雅虎索引和搜索消息数据、提供新服务的能力。

在其权力范围内，斯塔莫斯采取多种措施提高雅虎系统安全性，例如鼓励工程师开发更安全的代码、对数据中心之间的数据流量加密。但需要投入真金白银强化雅虎安全架构时，斯特莫斯多次与梅耶尔发生冲突。梅耶尔拒绝为雅虎安全团队提供经费，迟迟不部署主动性安全技术。上述雅虎员工称，过去数年，多名Paranoids员工跳槽到苹果、Facebook和谷歌等竞争对手。

去年跳槽到Facebook的斯塔莫斯未就此置评。但在斯塔莫斯任职期间，梅耶尔拒绝采取最基本的安全措施：系统被攻破后自动重置所有用户密码，原因是担心雅虎邮件服务用户流失。(编译/霜叶)