雅虎被爆秘密“掃描”所有用戶所收郵件

　　新華社舊金山10月4日電 針對一家媒體4日指認美國雅虎公司去年編寫並秘密啟用一種專用軟體，“掃描”所有郵箱用戶收取的電子郵件，“檢索字符串”由美國國家安全局或聯邦調查局提供。雅虎公司當天沒有確認，也沒有否認。

　　作為對媒體質詢的回應，這家矽谷企業發佈簡短聲明稱：“雅虎是一家守法企業，遵循美國法律。”

　　路透社當天最早報道雅虎後臺秘密“作業”，在接收端口對所有用戶的郵件加以“偷窺”，實際沒有指責這家企業違法。這篇報道以雅虎3名離職僱員和1名知情人為匿名消息來源，因為沒有任何其他媒體得以從相同或類似來源獲得驗證，直到4日晚間始終保持“獨家消息”狀態。

　　前雅虎僱員説，雅虎法務部門去年收到由法庭簽發的政府機構“協查令”，由法務部門主管羅恩·貝爾和首席執行官瑪麗薩·邁耶過問，繞過企業信息安全部門，直接找郵件部門的工程師落實；郵件“掃描”軟體啟用幾星期後，2015年5月被信息安全部門人員發現，最初以為是企業外部“駭客”所為。

　　按照兩個匿名消息源的説法，雅虎首席信息安全官亞歷克斯·斯塔莫斯告訴下屬，“掃描”套裝軟體含一個漏洞，可能會吸引駭客攻擊，侵入雅虎伺服器儲存的用戶郵件；另外，得知首席執行官親自授權啟用專用軟體，斯塔莫斯認定這種做法損害用戶信息安全，而他沒有發表意見的機會，於是2015年6月去職、轉投臉書公司，現任這家社交媒體的首席安全官。

　　斯塔莫斯離職時沒有提及任何雅虎內部問題，4日回避所有媒體記者採訪。

　　無論前雅虎僱員、還是知情人士，都沒有説出“檢索字符串”是哪些內容，沒有告知雅虎方面是否發現了“問題郵件”以及是否向美國政府機構送交了相關數據。

　　依照常識，以所有用戶為對象“掃描”郵件，賬戶和郵件數量都數以億計，意味著美國政府機構不知道“目標”；而且，以往政府機構的“協查令”一般針對已存入伺服器的郵件，包括用戶收取的郵件和發送的郵件，不會在郵件存入伺服器前以“實時截收”方式加以篩選。

　　一些分析師推斷，鋻於雅虎不是最大的郵件服務供應商，其他一些美國企業理應收到相同的“協查令”。只是，提及雅虎的做法，提供郵件服務的幾家美國主要信息技術企業都以自己“不可能這樣做”回答媒體記者。

　　美國國家安全局承包商前僱員愛德華·斯諾登2013年6月揭露政府和企業聯手，在美國以至全球範圍大規模截收電子信息，目標包括西方“盟國”領導人以及美國公民，觸發公眾對美國企業的懷疑。當時，一些企業出面否認，另一些企業選擇沉默。

　　借助專用軟體“掃描”所有用戶收取的郵件，雅虎或許是信息技術行業第一家、至少是遭到“曝光”的第一家企業。

　　斯諾登如今據信在俄羅斯“避難”，4日在社交媒體發聲：“還在用雅虎郵箱？他們秘密掃描你寫下的一切……今天就關閉賬號吧。”

　　雅虎現任首席信息安全官鮑勃·洛德10多天前發佈公告，承認與至少5億雅虎用戶相關的信息遭人竊取，涉及用戶姓名、電子郵箱、電話號碼、出生日期和部分登錄密碼。他聲稱，一些跡象顯示，“國家實體”參與駭客攻擊，竊取雅虎用戶信息。然而，一些安全分析師隨後質疑，雅虎用戶信息至少兩次出現在“黑市”，似乎與任何所謂國家實體無關，把信息失竊歸咎於其他國家是否有意掩蓋企業“無能”？