剑客
关注科技互联网

[译]Marissa Mayer 拒绝将雅虎用户密码重置 2 年前

Marissa Mayer 拒绝将雅虎用户密码重置 2 年前

周二,美国参议员致函 Marissa Mayer,询问雅虎首席执行官最近发现违约的至少一半亿账户的详细资料。

一些从那封信的问题︰ 怎么这样大规模的违约去忽视 2 年?为防止今后违反,雅虎做什么?雅虎改变其安全协议了吗?如果是这样,如何?

本来也许会更好的问题︰ 雅虎并没有做什么来建立一个安全的环境?

正如纽约时报 》 报道上周三,当它来到安全,你收获你播种什么,但雅虎没有多年来洒很多种子。

报纸上谈到该公司安全与半打的现任和前任雅虎雇员,在匿名的条件下。

正如他们所描述的因为梅耶接管破产公司在 2012 年,雅虎的安全团队坚持要求安全倡议更多的钱。

但这些要求已经一再拒绝其他优先事项,例如新产品和清洁的外观为雅虎邮件。

更重要的是,渴望稳定流失的用户意味着,一直舍不得迈耶和其他要员实施可能情况不满任何更多的用户的安全更改。

雅虎的失败采取主动行动安全︰

Bug 赏金。雅虎没有付了其第一个 bug 赏金直到 2013 年。甚至,一个 — — 在公司商店信用 12.50 美元 — — 是,容我们说,tad 反响平平。

这与谷歌,宣布自己的 bug 赏金计划 3 年前对比。谷歌不只付体面的中小型支出;它也制定了名人堂,以确保研究人员得到了他们应得的功劳。

在这 3 年的滞后期,雅虎不仅输”无数”安全工程师给了竞争对手,纽约时报 》 报道,但在 2012 年也遭受违约超过 450,000 明文密码从雅虎的声音和一系列的”羞辱”2013 年垃圾邮件攻击。

端到端加密。雅虎聘请德高望重的亚历克斯斯塔莫斯担任首席信息官一年普适监视在爱德华 Snowden 揭露之后。

斯塔莫斯和他的安全团队 — — 他们被戏称为”多疑”— — 根据什么杰夫 Bonforte,敦促雅虎采用端到端加密的一切,雅虎高级副总裁,负责其电子邮件和消息服务,在去年 12 月的一次采访中说。

那将保持所有会话私人非参与者。连雅虎将无法阅读邮件。

这样的举动不会防止违反行为,但它会保护用户的通信从政府监视和入侵者的窥探。

Bonforte 不喜欢这个主意。毕竟,这意味着,雅虎将有一段艰难的时期,索引和搜索消息数据以提供新的用户服务。

从那次采访引述 Bonaforte 出版物︰

我不是特别兴奋与公寓大厦等对每个窗口具有最大的酒吧。

相比之下,雅虎的竞争对手包括谷歌和 Facebook 都推出了功能强大的端到端加密他们的产品。

斯塔莫斯接着离开雅虎和在 2015 年 6 月成为 Facebook 首席安全官员。

纽约时报 》 表明它是与梅耶尔,开车送他的头撞︰

犯有意义的美金来提高雅虎的安全基础设施的时候,梅耶尔一再发生冲突与斯塔莫斯先生,据现任和前任员工。

她否认雅虎的安全团队财务资源,并推迟主动安全防御措施,包括雅虎的生产系统的入侵检测机制。在过去的几年中,员工说,[雅虎的安全团队成员] 有例行聘走了像苹果、 Facebook 和谷歌的竞争对手。

严重的安全失败的所有。其中一个最严重的安全大拇指起伏的梅耶尔发出︰ 拒绝所有用户密码安全发生违约后的自动复位。

从纽约时报 》:

员工说,此举遭到了梅耶尔团队简单的密码更改会开车雅虎的担心甚至东西缩小电子邮件用户的其他服务。

一些抵制这一概念应强制用户定期更改其密码。思考︰ 它还会强制用户来容易记住和容易预测进阶,StupidPassword #1、 StupidPassword #2 等。另外,为什么改变已经是强密码?

但自动密码重置意味着只是最近才泻出,即使他们违反万年前,发生的所有密码都将无用。

包含从 2012年违反 1 亿 6400 万的 LinkedIn 密码和暴露从过去,MySpace 未报告违反 4 亿 2700 万密码。

一些企业强加自动的密码重置用户定期,作为一种预防性。方法有其长处和短处。

但就自动的密码重置之后违反而言,公司为什么不强迫用户丢失其没有更长的时间秘密凭据?

从什么雅虎内部人士告诉纽约时报 》,原因归结起来的线沿线”因为几个更多的用户可能油烟跳船。

雅虎当然不是唯一的业务保安人员不得不争取预算,这是肯定的。

读者们,你在想什么︰ 不知道雅虎的安全缺陷的任何帮助吗?

毕竟,知识不打算帮助雅虎用户从骗子手里夺回来的他们的信息。

让我们知道您的想法在下面的评论。

按照 @NakedSecurity

按照 @LisaVaas

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址