Yahoo annoncerede, at hackere stjal data fra over en milliard konti i 2013. Ifølge virksomheden kan dataene have inkluderet navne, e-mail-id'er, telefonnumre, hashede adgangskoder og "krypterede eller ikke-krypterede sikkerhedsspørgsmål og svar."
Dette angreb er adskilt fra det, Yahoo afslørede tilbage i september, hvor virksomheden mente, at en "statsstøttet aktør" kompromitterede dens servere for at få adgang til brugerdata fra over 500 millioner konti. Det ser dog ud til, at de samme hackere var i stand til at slippe af med flere data denne gang.
Fra den officielle meddelelse på Tumblr:
Som vi tidligere afslørede i november, forsynede retshåndhævelsen os med datafiler, som en tredjepart hævdede var Yahoo-brugerdata. Vi analyserede disse data med hjælp fra eksterne kriminaltekniske eksperter og fandt, at det ser ud til at være Yahoo-brugerdata. Baseret på yderligere analyse af disse data fra de retsmedicinske eksperter, mener vi, at en uautoriseret tredjepart, i august 2013, stjal data, der er forbundet med mere end en milliard brugerkonti. Vi har ikke været i stand til at identificere den indtrængen, der er forbundet med dette tyveri. Vi mener, at denne hændelse sandsynligvis adskiller sig fra den hændelse, vi afslørede den 22. september 2016.
For potentielt berørte konti kan de stjålne brugerkontooplysninger indeholde navne, e-mail-adresser, telefonnumre, fødselsdato, hashede adgangskoder (ved hjælp af MD5) og i nogle tilfælde krypterede eller ikke-krypterede sikkerhedsspørgsmål og svar. Undersøgelsen viser, at de stjålne oplysninger ikke indeholdt adgangskoder i klar tekst, betalingskortdata eller bankkontooplysninger. Betalingskortdata og bankkontooplysninger gemmes ikke i det system, som virksomheden mener var påvirket.
Yahoo sagde også, at hackerne var i stand til at forfalde virksomhedens autentificering "cookies", hvilket giver dem adgang til brugerkonti uden behov for en adgangskode:
Baseret på den igangværende undersøgelse mener vi, at en uautoriseret tredjepart har adgang til vores proprietære kode for at lære, hvordan man smeder cookies. De eksterne kriminaltekniske eksperter har identificeret brugerkonti, som de mener, at forfalskede cookies blev taget eller brugt. Vi underretter de berørte kontoejere og har ugyldigt de forfalskede cookies. Vi har forbundet en del af denne aktivitet til den samme statsstøttede skuespiller, der antages at være ansvarlig for datatyveriet, som virksomheden afslørede den 22. september 2016.
Hvis du har en Yahoo-konto, er det på tide, at du ændrer din adgangskode. Opret en stærk adgangskode, og sørg for, at det adgangskode, du bruger på tjenesten, ikke genanvendes andre steder. Du skal også aktivere tofaktorautentisering for din Yahoo-konto.
