雅虎被爆秘密“扫描”所有用户所收邮件
新华社旧金山10月4日电 针对一家媒体4日指认美国雅虎公司去年编写并秘密启用一种专用软件,“扫描”所有邮箱用户收取的电子邮件,“检索字符串”由美国国家安全局或联邦调查局提供。雅虎公司当天没有确认,也没有否认。
作为对媒体质询的回应,这家硅谷企业发布简短声明称:“雅虎是一家守法企业,遵循美国法律。”
路透社当天最早报道雅虎后台秘密“作业”,在接收端口对所有用户的邮件加以“偷窥”,实际没有指责这家企业违法。这篇报道以雅虎3名离职雇员和1名知情人为匿名消息来源,因为没有任何其他媒体得以从相同或类似来源获得验证,直到4日晚间始终保持“独家消息”状态。
前雅虎雇员说,雅虎法务部门去年收到由法庭签发的政府机构“协查令”,由法务部门主管罗恩·贝尔和首席执行官玛丽萨·迈耶过问,绕过企业信息安全部门,直接找邮件部门的工程师落实;邮件“扫描”软件启用几星期后,2015年5月被信息安全部门人员发现,最初以为是企业外部“黑客”所为。
按照两个匿名消息源的说法,雅虎首席信息安全官亚历克斯·斯塔莫斯告诉下属,“扫描”软件包含一个漏洞,可能会吸引黑客攻击,侵入雅虎服务器储存的用户邮件;另外,得知首席执行官亲自授权启用专用软件,斯塔莫斯认定这种做法损害用户信息安全,而他没有发表意见的机会,于是2015年6月去职、转投脸书公司,现任这家社交媒体的首席安全官。
斯塔莫斯离职时没有提及任何雅虎内部问题,4日回避所有媒体记者采访。
无论前雅虎雇员、还是知情人士,都没有说出“检索字符串”是哪些内容,没有告知雅虎方面是否发现了“问题邮件”以及是否向美国政府机构送交了相关数据。
依照常识,以所有用户为对象“扫描”邮件,账户和邮件数量都数以亿计,意味着美国政府机构不知道“目标”;而且,以往政府机构的“协查令”一般针对已存入服务器的邮件,包括用户收取的邮件和发送的邮件,不会在邮件存入服务器前以“实时截收”方式加以筛选。
一些分析师推断,鉴于雅虎不是最大的邮件服务供应商,其他一些美国企业理应收到相同的“协查令”。只是,提及雅虎的做法,提供邮件服务的几家美国主要信息技术企业都以自己“不可能这样做”回答媒体记者。
美国国家安全局承包商前雇员爱德华·斯诺登2013年6月揭露政府和企业联手,在美国以至全球范围大规模截收电子信息,目标包括西方“盟国”领导人以及美国公民,触发公众对美国企业的怀疑。当时,一些企业出面否认,另一些企业选择沉默。
借助专用软件“扫描”所有用户收取的邮件,雅虎或许是信息技术行业第一家、至少是遭到“曝光”的第一家企业。
斯诺登如今据信在俄罗斯“避难”,4日在社交媒体发声:“还在用雅虎邮箱?他们秘密扫描你写下的一切……今天就关闭账号吧。”
雅虎现任首席信息安全官鲍勃·洛德10多天前发布公告,承认与至少5亿雅虎用户相关的信息遭人窃取,涉及用户姓名、电子邮箱、电话号码、出生日期和部分登录密码。他声称,一些迹象显示,“国家实体”参与黑客攻击,窃取雅虎用户信息。然而,一些安全分析师随后质疑,雅虎用户信息至少两次出现在“黑市”,似乎与任何所谓国家实体无关,把信息失窃归咎于其他国家是否有意掩盖企业“无能”?