雅虎承认数据泄露可能会影响Verizon收购
雅虎第一次承认,工作人员在公开确认之前已知数据泄露两年,并且该事件可能会影响与Verizon的483亿美元销售交易。
互联网公司确认违反2016年9月22日在2016年9月22日影响了至少5亿用户账户的违规行为,声称它首次在verizon交易之后的一个月内首次发现了违约行为。
但现在,在美国证券和交流委员会(SEC)申请中,雅虎承认有些员工知道在2014年袭击事件后不久就已提供了一名国家赞助的黑客。
“由独立律师和法医专家建议的”董事会独立委员会“在2014年和此后,在其后,在其申请中举行了本公司的知识范围,”关于违反“的知识范围。”
“此外,法医专家目前正在调查某些证据和活动,表示入侵者,被认为是与安全事件负责的同一国家赞助的行为者,创建了可以使这些入侵者绕过密码的曲奇的Cookie访问某些用户的帐户或帐户信息。“
雅虎违约据信是最大的公开报告的违约类型的违约,超越了2008年在MySpace的2008年违约中暴露的超过3.59亿用户详细信息。
确认雅虎违约导致市场猜测关于新闻是否将与verizon交易或至少导致电信集团的呼吁降低价格。
虽然雅虎一直坚持认为,它对公司的价值有信心,并正在与Verizon融合,但证券交易所申请表明,本公司承认在最坏情况下,违规可能会影响收购交易。
SEC申请中列出的待定Verizon周围的风险和不确定性包括:“verizon可能因股票购买协议而被宣称,由于与安全事件有关的事实,并可能寻求终止股票购买协议或重新谈判销售交易条款基础。”
评论员表示,虽然这并不一定意味着雅虎认为这是一种直接风险,但它现在已经提到了第一次可能性的可能性很有趣。
雅虎还承认,违规的全部成本仍未清楚。虽然公司表示,违约额度在2016年第三季度仅需100万美元,但事件“没有物质不利影响”,季度表示,随后随后发生与补救行动有关的费用。
该公司表示,它还预计将继续征收与违约相关的调查,法律和其他费用。雅虎表示,它将认识并将这些费用作为营业费用的一部分,并补充说公司没有网络安全责任保险。
该文件还承认雅虎还可以促进与本公司和外国法院提交的23项推定的消费类诉讼诉讼有关的费用。
英国通信公司ViaSAT的英国经理Neil Fraser表示,SEC申请已阐述网络攻击的真正成本。
“真正的风险不一定来自知识产权的丧失,或对业务运营的损害,而是对组织的声誉的持续危害。成本可能不会立即显而易见,而是随着时间的推移 - 或者如果业务处于敏感时期 - 它可以很容易地达到数十亿美元,“他说。
弗雷泽说,赌注是如此之高,该组织需要对待网络攻击不仅作为威胁来治疗网络攻击,而是作为不可避免的。
“攻击者是否是国家,州赞助,犯罪企业或单一的唯一来寻求提升他们的声誉,他们会造成无法弥补的伤害。在这种情况下,希望以1,800美元销售被盗数据的攻击者可以很容易地花费雅虎一百万倍,“他说。
为了减少这些后果,Fraser表示,组织需要查看技术和组织的一些问题。
“显然,这包括使用安全技术 - 从防火墙到防病毒加密所使用的网络,也是实际数据,以便任何被盗的数据都是无价值的,”他说。
Venafi实验室的一项研究显示,到2016年9月,雅虎仍然没有采取必要的行动以确保用户没有暴露,并且黑客仍然无法获得其系统和加密通信。
研究人员发现雅虎仍然针对许多其特征证书使用了yahoops散列功能,并不知道该算法已知多年来易受攻击,并且遭受许多严重和记录良好的脆弱性。
Venafi工程副总裁Alex Kaplunov表示,雅虎遭受的主要违规行为往往伴随着相对较弱的加密控制。
除安全控制外,弗雷泽还需要查看培训班,并确保他们不仅知道如何降低成功攻击的风险,还要如何反应。
“这包括隔离和识别起源,占据被盗或受到影响的原因,并确保那些已经出现风险的人会尽快通知和保护,”他说。
总之,弗雷泽表示,雅虎的决定不初步分享有关违约的信息,可能会在长远来看昂贵。
“无论出于何种原因,似乎雅虎故意延迟分享关键信息。正是这将不仅对客户信任的最大影响,而且最终是其声誉,“他说。
英国的隐私看门狗,信息专员办公室(ICO)正在调查违约,了解对英国公民的影响。
宣布2016年9月,信息专员Elizabeth Denham表示,受违规者影响的人数是“令人惊越的”,并表明安全性黑客的后果是多么严重。
“这里有一个令人兴趣和重要的信息,为获取和处理个人数据的公司。人们的个人信息必须在锁定和钥匙下安全地保护 - 并且应该对黑客找到的关键是不可能找到的,“她说。