Yahoo ogłosiło, że hakerzy ukradli dane z ponad miliarda kont w 2013 roku. Według firmy dane te mogą zawierać nazwiska, identyfikatory e-mail, numery telefonów, hashowane hasła oraz „zaszyfrowane lub nieszyfrowane pytania i odpowiedzi bezpieczeństwa”.
Atak ten jest odrębny od ujawnionego przez Yahoo we wrześniu, w którym firma uważa, że „sponsorowany przez państwo aktor” naraził swoje serwery na dostęp do danych użytkowników z ponad 500 milionów kont. Wygląda jednak na to, że tym samym hakerom udało się pozbyć więcej danych.
Z oficjalnego ogłoszenia na Tumblr:
Jak wcześniej ujawniliśmy w listopadzie, organy ścigania dostarczyły nam pliki danych, które według strony trzeciej były danymi użytkownika Yahoo. Przeanalizowaliśmy te dane z pomocą zewnętrznych ekspertów kryminalistycznych i stwierdziliśmy, że są to dane użytkownika Yahoo. W oparciu o dalszą analizę tych danych przez ekspertów kryminalistycznych uważamy, że nieupoważniona strona trzecia w sierpniu 2013 r. Ukradła dane związane z ponad miliardem kont użytkowników. Nie byliśmy w stanie zidentyfikować włamania związanego z tą kradzieżą. Uważamy, że ten incydent prawdopodobnie różni się od incydentu, który ujawniliśmy 22 września 2016 r.
W przypadku kont, na które może mieć to wpływ, informacje o skradzionym koncie użytkownika mogą zawierać nazwiska, adresy e-mail, numery telefonów, daty urodzenia, hashowane hasła (przy użyciu MD5), a w niektórych przypadkach zaszyfrowane lub niezaszyfrowane pytania i odpowiedzi bezpieczeństwa. Dochodzenie wskazuje, że skradzione informacje nie zawierały haseł w postaci zwykłego tekstu, danych karty płatniczej ani informacji o koncie bankowym. Dane karty płatniczej i informacje o koncie bankowym nie są przechowywane w systemie, który według firmy został naruszony.
Yahoo powiedział także, że hakerzy byli w stanie sfałszować „ciasteczka” uwierzytelniające firmy, umożliwiając im dostęp do kont użytkowników bez potrzeby posiadania hasła:
Na podstawie trwającego dochodzenia uważamy, że nieautoryzowana strona trzecia uzyskała dostęp do naszego zastrzeżonego kodu, aby dowiedzieć się, jak fałszować pliki cookie. Zewnętrzni eksperci kryminalistyczni zidentyfikowali konta użytkowników, dla których ich zdaniem sfałszowane pliki cookie zostały pobrane lub wykorzystane. Powiadamiamy właścicieli kont, których to dotyczy, i unieważniliśmy sfałszowane pliki cookie. Połączyliśmy niektóre z tych działań z tym samym sponsorowanym przez państwo aktorem, który jest odpowiedzialny za kradzież danych ujawnioną przez firmę 22 września 2016 r.
Jeśli masz konto Yahoo, czas zmienić hasło. Utwórz silne hasło i upewnij się, że hasło, którego używasz w serwisie, nie będzie ponownie używane nigdzie indziej. Powinieneś także włączyć uwierzytelnianie dwuskładnikowe dla swojego konta Yahoo.
