Yahoo mengumumkan bahawa penggodam mencuri data dari lebih satu bilion akaun pada tahun 2013. Menurut syarikat itu, data itu mungkin termasuk nama, ID e-mel, nombor telefon, kata laluan, dan "soalan dan jawapan keselamatan yang disulitkan atau tidak disiarkan."
Serangan ini berasingan daripada Yahoo yang didedahkan kembali pada bulan September, di mana syarikat itu percaya "pelakon yang ditaja negara" menjejaskan pelayannya untuk mengakses data pengguna dari lebih 500 juta akaun. Walau bagaimanapun, ia kelihatan seperti penggodam yang sama dapat mengelakkan lebih banyak data kali ini.
Dari pengumuman rasmi mengenai Tumblr:
Seperti yang telah kita nyatakan pada bulan November, penguatkuasaan undang-undang memberikan kami fail data yang dituntut pihak ketiga ialah data pengguna Yahoo. Kami menganalisis data ini dengan bantuan ahli forensik luar dan mendapati bahawa ia kelihatan sebagai data pengguna Yahoo. Berdasarkan analisis lanjut mengenai data ini oleh pakar forensik, kami percaya pihak ketiga yang tidak dibenarkan, pada bulan Ogos 2013, mencuri data yang berkaitan dengan lebih dari satu bilion akaun pengguna. Kami tidak dapat mengenal pasti pencerobohan yang berkaitan dengan kecurian ini. Kami percaya insiden ini mungkin berbeza daripada insiden yang kami nyatakan pada 22 September 2016.
Untuk akaun yang berpotensi terjejas, maklumat akaun pengguna yang dicuri mungkin termasuk nama, alamat e-mel, nombor telefon, tarikh lahir, kata laluan tersendiri (menggunakan MD5) dan, dalam beberapa kes, soalan dan jawapan keselamatan yang disulitkan atau tidak disiarkan. Siasatan menunjukkan bahawa maklumat yang dicuri tidak memasukkan kata laluan dalam teks jelas, data kad pembayaran, atau maklumat akaun bank. Maklumat kad pembayaran dan maklumat akaun bank tidak disimpan dalam sistem yang dipercayai oleh syarikat itu terjejas.
Yahoo juga mengatakan bahawa penggodam dapat mencipta "kuki" pengesahan syarikat, membenarkan mereka mengakses akaun pengguna tanpa memerlukan kata laluan:
Berdasarkan penyiasatan yang berterusan, kami percaya pihak ketiga yang tidak dibenarkan mengakses kod proprietari kami untuk mengetahui bagaimana untuk memalsukan cookies. Pakar forensik luar telah mengenal pasti akaun pengguna yang mana mereka percaya cookies palsu telah diambil atau digunakan. Kami memaklumkan pemegang akaun yang terjejas dan telah membatalkan kuki palsu. Kami telah menghubungkan beberapa aktiviti ini kepada pelakon yang ditaja oleh kerajaan yang sama yang bertanggungjawab terhadap kecurian data syarikat itu didedahkan pada 22 September 2016.
Sekiranya anda mempunyai akaun Yahoo, sudah tiba masanya anda menukar kata laluan anda. Buat kata laluan yang kuat, dan pastikan kata laluan yang anda gunakan pada perkhidmatan tidak digunakan semula di tempat lain. Anda juga harus mendayakan pengesahan dua faktor untuk akaun Yahoo anda.
