Yahoo meddelade att hackare stal data från över en miljard konton 2013. Enligt företaget kan informationen ha inkluderat namn, e-post-ID, telefonnummer, hash-lösenord och "krypterade eller okrypterade säkerhetsfrågor och svar."
Denna attack är skild från den som Yahoo avslöjade i september, där företaget trodde att en "statlig sponsrad aktör" komprometterade sina servrar för att få åtkomst till användardata från över 500 miljoner konton. Det ser dock ut som att samma hackare kunde komma ifrån med mer data den här gången.
Från det officiella tillkännagivandet på Tumblr:
Som vi tidigare avslöjade i november, gav brottsbekämpande oss datafiler som en tredje part hävdade var Yahoo-användardata. Vi analyserade dessa data med hjälp av externa kriminaltekniska experter och fann att det verkar vara Yahoo-användardata. Baserat på ytterligare analys av dessa uppgifter från de kriminaltekniska experterna, anser vi att en obehörig tredje part i augusti 2013 stal data som är kopplade till mer än en miljard användarkonton. Vi har inte kunnat identifiera det intrång som är förknippat med detta stöld. Vi tror att denna händelse troligen skiljer sig från den incident som vi avslöjade den 22 september 2016.
För potentiellt påverkade konton kan den stulna användarkontouppgifterna innehålla namn, e-postadresser, telefonnummer, födelsedatum, hash-lösenord (med MD5) och i vissa fall krypterade eller okrypterade säkerhetsfrågor och svar. Undersökningen indikerar att den stulna informationen inte inkluderade lösenord i tydlig text, betalkortsdata eller bankkontouppgifter. Betalningskortdata och bankkontouppgifter lagras inte i det system som företaget tror påverkades.
Yahoo sade också att hackarna kunde förfalska företagets autentiseringscookies, vilket tillät dem åtkomst till användarkonton utan lösenord:
Baserat på den pågående utredningen tror vi att en obehörig tredje part har tillgång till vår egen kod för att lära sig att smidja kakor. De externa kriminaltekniska experterna har identifierat användarkonton för vilka de tror att förfalskade cookies togs eller användes. Vi meddelar de berörda kontoinnehavarna och har ogiltigt de förfalskade kakorna. Vi har kopplat en del av denna aktivitet till samma statssponserade aktör som tros vara ansvarig för datastölden som företaget avslöjade den 22 september 2016.
Om du har ett Yahoo-konto är det dags att du ändrar ditt lösenord. Skapa ett starkt lösenord och se till att lösenordet du använder i tjänsten inte återanvänds någon annanstans. Du bör också aktivera tvåfaktorsautentisering för ditt Yahoo-konto.
