雅虎被爆秘密“扫描”所有用户所收邮件

　　新华社旧金山10月4日电 针对一家媒体4日指认美国雅虎公司去年编写并秘密启用一种专用软件，“扫描”所有邮箱用户收取的电子邮件，“检索字符串”由美国国家安全局或联邦调查局提供。雅虎公司当天没有确认，也没有否认。

　　作为对媒体质询的回应，这家硅谷企业发布简短声明称：“雅虎是一家守法企业，遵循美国法律。”

　　路透社当天最早报道雅虎后台秘密“作业”，在接收端口对所有用户的邮件加以“偷窥”，实际没有指责这家企业违法。这篇报道以雅虎3名离职雇员和1名知情人为匿名消息来源，因为没有任何其他媒体得以从相同或类似来源获得验证，直到4日晚间始终保持“独家消息”状态。

　　前雅虎雇员说，雅虎法务部门去年收到由法庭签发的政府机构“协查令”，由法务部门主管罗恩·贝尔和首席执行官玛丽萨·迈耶过问，绕过企业信息安全部门，直接找邮件部门的工程师落实；邮件“扫描”软件启用几星期后，2015年5月被信息安全部门人员发现，最初以为是企业外部“黑客”所为。

　　按照两个匿名消息源的说法，雅虎首席信息安全官亚历克斯·斯塔莫斯告诉下属，“扫描”软件包含一个漏洞，可能会吸引黑客攻击，侵入雅虎服务器储存的用户邮件；另外，得知首席执行官亲自授权启用专用软件，斯塔莫斯认定这种做法损害用户信息安全，而他没有发表意见的机会，于是2015年6月去职、转投脸书公司，现任这家社交媒体的首席安全官。

　　斯塔莫斯离职时没有提及任何雅虎内部问题，4日回避所有媒体记者采访。

　　无论前雅虎雇员、还是知情人士，都没有说出“检索字符串”是哪些内容，没有告知雅虎方面是否发现了“问题邮件”以及是否向美国政府机构送交了相关数据。

　　依照常识，以所有用户为对象“扫描”邮件，账户和邮件数量都数以亿计，意味着美国政府机构不知道“目标”；而且，以往政府机构的“协查令”一般针对已存入服务器的邮件，包括用户收取的邮件和发送的邮件，不会在邮件存入服务器前以“实时截收”方式加以筛选。

　　一些分析师推断，鉴于雅虎不是最大的邮件服务供应商，其他一些美国企业理应收到相同的“协查令”。只是，提及雅虎的做法，提供邮件服务的几家美国主要信息技术企业都以自己“不可能这样做”回答媒体记者。

　　美国国家安全局承包商前雇员爱德华·斯诺登2013年6月揭露政府和企业联手，在美国以至全球范围大规模截收电子信息，目标包括西方“盟国”领导人以及美国公民，触发公众对美国企业的怀疑。当时，一些企业出面否认，另一些企业选择沉默。

　　借助专用软件“扫描”所有用户收取的邮件，雅虎或许是信息技术行业第一家、至少是遭到“曝光”的第一家企业。

　　斯诺登如今据信在俄罗斯“避难”，4日在社交媒体发声：“还在用雅虎邮箱？他们秘密扫描你写下的一切……今天就关闭账号吧。”

　　雅虎现任首席信息安全官鲍勃·洛德10多天前发布公告，承认与至少5亿雅虎用户相关的信息遭人窃取，涉及用户姓名、电子邮箱、电话号码、出生日期和部分登录密码。他声称，一些迹象显示，“国家实体”参与黑客攻击，窃取雅虎用户信息。然而，一些安全分析师随后质疑，雅虎用户信息至少两次出现在“黑市”，似乎与任何所谓国家实体无关，把信息失窃归咎于其他国家是否有意掩盖企业“无能”？