摘要:雅虎公司公开承认在2014年曾遭骇客入侵攻击,至少5亿用户的资料遭到窃取,规模之大史无前例。现在又爆出雅虎依照美国情报机构命令,监视用户信件,让用户隐私是否获得保障受到质疑。

用户隐私没保障!雅虎疑配合美国情报机构 监视数亿用户-品味雅虎

雅虎(Yahoo)疑似牺牲用户隐私,配合美国情报机构监视用户电邮。 (美联社)

美国先前要求科技龙头「苹果公司」解码用户手机,协助调查加州枪击案凶嫌犯案动机,引发保障用户隐私及维护国家安全取舍争议,不过现在传出老牌网路公司「雅虎」(Yahoo)曾在2015年依美国情报机构要求,编写一套程式来监视数亿用户的电子信箱,对此指控,雅虎仅简短表示:「雅虎是间守法公司,遵守美国法律规定。」

《路透》引述3名雅虎离职员工及1名知悉此事者说法称,这项监视用户电邮行动是依据美国国家安全局(NSA)或联邦调查局(FBI)的指示,但因NSA通常会透过FBI来向其他单位索取情报监控的资料,因此尚不能确定该指示是由NSA或FBI提出。

这项监视行动中,雅虎搜索用户信件是否包含敏感字串或是附件,以提供给美国情报官员。专家称不曾见过如此大规模的情报搜集,需要特别设计程式也是前所未见。不过目前仍不清楚雅虎当时搜寻的关键词为何、是否有向情报机构交出资料,情报机构是否有向其他电子邮件公司提出类似要求也不得而知。
未战先降?雅虎疑放弃保障用户隐私

根据美国在2008年修订的《外国情报通讯监察法》(Foreign Intelligence Surveillance Act,FISA)第702项增修条文,司法部长与国家情报总监(Director of National Intelligence)可联合授权针对美国境外情报相关目标进行搜查,且有权向手机或网路公司索取客户资料,用于从事反恐等活动。
不过手机或网路公司也有权向美国的外国情报监控法院(Foreign Intelligence Surveillance Court)提出申诉,抗拒情报机构的指示。 FISA专家就指出,雅虎当时至少可就「邮件搜索范围」、「另写搜寻程式的必要性」两方面提出反对意见,但雅虎并没有,而《路透》表示,雅虎认为毫无胜算,因此放弃申诉。
执行长梅尔下令监视 资讯安全长愤而离职

2位雅虎前员工透露,雅虎执行长梅尔(Marissa Mayer)当时同意监视用户信箱,让许多高阶主管不满,还让时任资讯安全长史塔莫斯(Ales Stamos)离职。史塔莫斯现在是知名社群网站「脸书」(Facebook)的安全长,而他拒绝对雅虎监视用户事件发表评论。

离职员工表示,梅尔当时并未和公司的安全团队讨论,反而径向电子邮件工程师要求编写监控程式,并储存情报机构要求的相关邮件。安全团队后来才发现该程式的存在,起先还以为是遭骇客入侵。史塔莫斯知悉此事后便提交辞呈,并告诉下属,「自己被排除在这侵害用户资安的决策之外」,还说该程式的编写有瑕疵,骇客将有办法读取那些储存的邮件。

Google、微软:不曾监视用户信件

专家指出,由于美国情报机构还不知道监控目标使用的电邮信箱帐号,因此很可能也要求其他科技公司进行类似的监控任务,不过谷歌(Google)跟微软皆在4日否认进行过相关监视行为。谷歌发表声明指出,未曾得到情报机构的类似指示,即便有过,答案也一定是「想都别想」。微软发言人则指出,该公司不曾从事暗中监视用户邮件的行为,但拒绝评论是否得到过类似指示。苹果执行长库克(Tim Cook)在今年2月也明确表态,苹果绝对不会配合政府为手机iPhone加密技术开后门,以协助政府骇入「加州圣伯纳迪诺攻击案」凶嫌的手机。

美国公民自由联盟(ACLU)的律师图姆尼(Patrick Toomey)表示,用户都期望科技公司在法庭上捍卫他们的隐私权,因此雅虎不反抗政府监控命令的行为着实让人失望。美国中央情报局(CIA)前外包雇员史诺登(Edward Snowden)也推文说,雅虎远超过法律允许的范畴,秘密扫描用户所写的任何东西,用户今天就该关闭帐户。

今年9月23日,雅虎公司公开承认在2014年曾遭骇客入侵攻击,至少5亿用户的资料遭到窃取,规模之大史无前例,骇客窃取的资料包括使用者基本个资、加密处理过的密码,以及使用者自行设定的安全问题与答案。现在又爆出雅虎依照美国情报机构命令,监视用户信件,让用户隐私是否获得保障受到质疑。

Via 风传媒

历史上的今天:

  1. 2014:  施密特:雅虎和必应不算什么,亚马逊才是谷歌最大竞争对手(0)
  2. 2014:  Flickr 推出了将照片变成挂墙画的服务(0)
  3. 2014:  要求雅虎分拆?曾试过,失败了!(0)
  4. 2013:  雅虎通过大数据提高竞标效率 提高广告收入(2)
  5. 2012:  梅耶尔与销售沟通不善 或致雅虎Q3Q4业绩受损(0)