Yahoo ilmoitti, että hakkerit varastivat tietoja yli miljardista tilistä vuonna 2013. Yrityksen mukaan tietoihin voi sisältyä nimiä, sähköpostiosoitteita, puhelinnumeroita, hajautettuja salasanoja ja "salattuja tai salaamattomia turvakysymyksiä ja vastauksia".
Tämä hyökkäys on erillinen Yahoo: n syyskuussa julkistamasta hyökkäyksestä, jossa yrityksen uskotaan, että "valtion tukema toimija" vaaransi palvelimensa pääsyn yli 500 miljoonan tilin käyttäjätietoihin. Näyttää kuitenkin siltä, että samat hakkerit pystyivät poistamaan enemmän tietoja tällä kertaa.
Tumblrin virallisesta ilmoituksesta:
Kuten aiemmin paljassimme marraskuussa, lainvalvonta toimitti meille datatiedostot, joiden kolmannen osapuolen mukaan Yahoo-käyttäjätiedot olivat. Analysoimme nämä tiedot ulkopuolisten oikeuslääketieteen asiantuntijoiden avulla ja havaitsimme, että ne näyttävät olevan Yahoo-käyttäjän tietoja. Oikeuslääketieteellisten asiantuntijoiden suorittamien lisätietojen perusteella uskomme, että luvaton kolmas osapuoli varasti elokuussa 2013 yli miljardiin käyttäjätiliin liittyviä tietoja. Emme ole pystyneet tunnistamaan tähän varkauteen liittyvää tunkeutumista. Uskomme, että tämä tapahtuma eroaa todennäköisesti tapahtumasta, jonka paljasimme 22. syyskuuta 2016.
Varastettujen tilien osalta varastettuihin käyttäjätilitietoihin voi sisältyä nimiä, sähköpostiosoitteita, puhelinnumeroita, syntymäaikaa, hajautettuja salasanoja (MD5: n avulla) ja joissain tapauksissa salattuja tai salaamattomia turvakysymyksiä ja vastauksia. Tutkimus osoittaa, että varastetut tiedot eivät sisältäneet salasanoja selkeässä tekstissä, maksukorttitietoja tai pankkitilitietoja. Maksukorttitietoja ja pankkitilitietoja ei tallenneta järjestelmään, jonka yrityksen mielestä asia vaikuttaa.
Yahoo kertoi myös, että hakkerit pystyivät väärentämään yrityksen todennus "evästeet" antaen heille pääsyn käyttäjätilille ilman salasanaa:
Käynnissä olevan tutkimuksen perusteella uskomme, että luvattomat kolmannet osapuolet ovat käyttäneet omistusoikeuskoodiamme oppiaksesi evästeiden väärentämistä. Ulkopuoliset oikeuslääketieteen asiantuntijat ovat tunnistaneet käyttäjätilit, joiden mielestä väärennetyt evästeet on otettu tai käytetty. Ilmoitamme asianomaisille tilinomistajille ja olemme tehneet väärennetyt evästeet kelvottomiksi. Olemme yhdistäneet osan tästä toiminnasta samaan valtion tukemaan toimijaan, jonka uskotaan olevan vastuussa tietovarkauksista, jotka yritys paljasti 22. syyskuuta 2016.
Jos sinulla on Yahoo-tili, on aika vaihtaa salasana. Luo vahva salasana ja varmista, että palvelussa käyttämääsi salasanaa ei käytetä missään muualla. Sinun tulisi myös ottaa käyttöön kaksikerroinen todennus Yahoo-tilillesi.
