雅虎为什么要这么长时间来披露安全漏洞?

雅虎9月下旬宣布,至少有5亿用户帐户被盗用。被窃取的数据包括用户的姓名,电子邮件地址,电话号码,出生日期和加密密码,而不是信用卡数据。大量数据泄露越来越普遍:在2016年,我们发现了雅虎违规以及LinkedIn黑客(折衷1.67亿个账户)和MySpace违规(3.6亿个账户)。

雅虎的违规行为对其他用户的影响更大,但是所有这些都占有一个关键因素:事实之后公布了这个公开的年份。在LinkedIn在2012破解发生,MySpace的在2013年被破坏和雅虎在2014年黑客攻击不是到2016年做了三个网站的用户发现自己的信息被人偷走了。

当个人信息被盗时,快速反应很重要。客户需要更改密码,并采取其他步骤来保护他们的身份,包括保护银行帐户和信用记录。如果人们不知道发生了违规行为,并且他们需要采取这些保护措施,他们仍然是脆弱的。

那么为什么公司需要这么长时间来披露他们被黑客入侵?它不像你想象的那样简单 – 或希望。

雅虎知道雅虎的攻击还不清楚,但在这种情况下,时机是有问题的。8月1日发表的一篇新闻文章引用了一家公司发言人的话说,雅虎“意识到”一名黑客正在网路黑市上销售 2亿Yahoo账号的登录信息。

但是一个多月后,该公司向美国金融监管机构提交了一份文件,表示不知道任何“未经授权访问”的声明可能会对其向Verizon的待售销售产生影响。而Verizon公开表示,雅虎已经在雅虎宣布这个世界前两天才听说过违约。

所有这些事件当然是在实际发生之后的几年。这是一个不寻常的拖延。根据网络安全公司FireEye最近的一份报告,2015年,组织网络在发现违规事件之前被中断的时间是146天。

这包括各类企业的各种规模的企业。作为一个拥有极大用户群体的主要互联网公司,雅虎可能会比其他公司早日发现和披露,这是合理的。

该公司表示相信这次袭击是由一个国家政府进行的,虽然没有从哪个国家说出来。这可能表明攻击更加复杂,因此更难以发现 – 但是不可能知道是否是真实的,因为该公司拒绝提供如何实现违约的细节。

此外,互联网上的任何人都可以要求任何他们想要的东西 – 公司必须调查他们的系统,以确定谁是广告他们有登录信息出售实际上是采取任何事情,或只是弥补它造成麻烦。

雅虎花了很长时间发现黑客的非技​​术原因可能包括其安全团队的领导频繁变化以及全公司寻找买家的压力。

一旦公司了解到已被黑客入侵,重要的是告诉客户和公众,以便人们能够采取适当措施来保护他们的信息,隐私和身份。

目前,没有关于公司何时告知公众信息安全漏洞的联邦法。2015年,民主党人建议给予企业30天的时间发现一个黑客,宣布发生了这件事。这种努力失败了,因为许多国家有不同的要求,有更严格的标准,联邦法律将被推翻。

技术公司通常可以快速从数据泄露中恢复,如果他们快速响应并采取必要步骤通知用户。即使对于数据泄露导致客户信用卡信息妥协的企业,例如2013年的Target和2014 年的Home Depot也是如此。

在违规行为之后提起的诉讼已经使公司花费了数百万的结算费用,更不用说法律费用和业务损失。这个教训很清楚:早日披露数据泄露更好。如果雅虎早在8月 – 甚至几年前才知道它的黑客 – 而且花了很长时间向公众宣布,公司已经明显地背叛了用户的信任。

虽然雅虎呼吁用户在公开披露安全漏洞之后更改密码和安全问题,但数以千计的用户已经向社交媒体表示愤怒,称该公司已经花了两年的时间来发现数据泄露。针对雅虎的诉讼正在增加。

对于像雅虎这样以技术为中心的企业来说,企业来说,要保护自己免受熟练和确定的黑客的困扰,这将是非常困难的。但是一旦怀疑就不会报告攻击可能几乎与攻击本身一样有害。

发表评论

电子邮件地址不会被公开。 必填项已用*标注