雅虎的大规模泄露显示了数据有多脆弱

雅虎最新黑客事件的披露凸显了许多美国人多年来一直知道的事情：所有这些电子邮件、照片和其他存储在网上的个人文件都很容易被盗，对此任何人都无能为力。唯一值得庆幸的是，攻击者显然没有利用这些信息进行欺诈。但他们的真实动机仍然是个谜。

虽然所有用户都应该采取一些简单明了的措施来保护自己，但真正做到的人相对较少。在这种情况下，这样做并不重要。即使是最谨慎的反制措施也只能限制损害。

“雅虎用户本可以拥有完美的计算机安全，但仍然是这里的受害者，”威尔·阿克利说，他是Virtru的首席技术官，Virtru是他在国家安全局工作八年后共同创建的一家计算机安全公司。“除非使用加密，否则没有办法防止您的电子邮件在这种黑客攻击中受到损害。”

周三披露的大规模漏洞暴露了超过10亿个用户账户，这是历史上最大的此类攻击。该公司表示，攻击发生在2013年8月，尽管雅虎最近才发现。更糟糕的是，该公司在9月份发布了类似的声明，称2014年雅虎将黑客攻击归咎于一个未透露姓名的外国政府。那次违规影响了5亿个账户。

一些专家认为，周三宣布的违规行为中窃取的破纪录的数据量也指向国家支持的黑客寻找特定目标，这可能是三年后这些数据仍未在网络上被发现出售的原因。雅虎的违规行为还没有与网络欺诈或对雅虎用户的任何具体影响联系在一起。

但他们的披露紧随美国情报部门对俄罗斯在总统竞选期间黑客攻击民主党电子邮件的担忧--更不用说最近对一家主要健康保险公司、一家医学实验室测试公司和管理数百万联邦雇员的政府办公室的袭击了。

“教训很清楚：网络安全咨询公司Prevalent的产品管理总监杰夫·希尔说。由于我们大多数人都依赖于将我们的数字生活掌握在手中的大组织，从广义上说，这意味着没有人是安全的。

这些黑客事件代表了这家苦苦挣扎的加州桑尼维尔公司在试图重塑自己时的又一次绊脚石。这些违规事件发生在雅虎首席执行官玛丽莎·梅耶尔（Marissa Mayer）执政期间，梅耶尔曾是一位备受称赞的领导人，在她上任后的四年里，她一直无法扭转公司的局面。

今年早些时候，雅虎同意以48亿美元的价格将其数字业务出售给Verizon Communications，这项交易现在可能会因黑客事件而受到威胁。

与此同时，很明显雅虎在保护用户方面做得不够。例如，该公司承认使用MD5，这是一种密码存储方法，许多专家认为这种方法不足，不如黑客攻击时可用的其他方法。

Sentinelone的安全战略主管耶利米·格罗斯曼说，随着调查的进展，雅虎现在的首要任务之一是让用户随时了解最新情况。

“我认为这将大大有助于向用户和每个人保证，他们正在做正确的事情，”格罗斯曼说，他曾于1999年至2001年在雅虎从事安全工作。“网络安全最好的安心就是透明。”

格罗斯曼指出，像雅虎这样的公司只能做这么多来保护用户，而不损害其商业模式，即根据从用户那里收集的数据出售广告。

因此，它不能做像加密用户数据这样的事情，这将使信息对黑客毫无用处。其他不卖广告的公司，如苹果，可以加密。谷歌等一些公司也这样做了，但不是以一种可以防止这种类型的黑客攻击的方式。他们还持有这种加密的密钥，给了他们广告销售所需的访问权限。

“退一步说，这10亿人不是雅虎的客户，他们是雅虎的产品，”格罗斯曼说。

专家说，对于Yahoo用户来说，除了在过去三年没有修改密码之外，他们几乎没有办法做。而且很难防范雅虎或其他持有个人信息的公司的黑客攻击。

阅读: 雅虎确认10亿帐户被黑客入侵: 这是发生的事情

改变电子邮件提供商至少对大多数人来说是一种痛苦。专家们说，选择一个严厉的密码是必须的，尽管他们认为经常改变它是多么重要。

相同的密码不应用于多个站点，重置密码所需的问题和答案也应是唯一的。

虽然完美的安全性并不存在，但也没有人想成为一个容易的目标。网络安全专家喜欢将黑客威胁比作熊跑: 你不一定非得是最快的选手-只是不是最慢的。

John Shier说，Yahoo的入侵应该是给用户一个教训，他们不能认为公司，甚至是大型跨国科技公司，都在做安全，sophos的高级安全顾问。

“希望这是一个唤醒每个人的人，尽管我怀疑它会是，” Shier说。“当我们知道如何更好地保护系统多年来，看到这种情况一遍又一遍地发生是令人沮丧的。”