Yahoo heeft aangekondigd dat hackers in 2013 gegevens van meer dan een miljard accounts hebben gestolen. Volgens het bedrijf kunnen de gegevens namen, e-mail-ID's, telefoonnummers, gehashte wachtwoorden en "gecodeerde of niet-gecodeerde beveiligingsvragen en -antwoorden" bevatten.
Deze aanval staat los van de aanval die Yahoo in september heeft bekendgemaakt, waarin het bedrijf geloofde dat een "door de staat gesponsorde acteur" zijn servers in gevaar bracht om toegang te krijgen tot gebruikersgegevens van meer dan 500 miljoen accounts. Het lijkt er echter op dat dezelfde hackers deze keer meer gegevens konden weghalen.
Van de officiële aankondiging op Tumblr:
Zoals we eerder in november hebben bekendgemaakt, heeft de politie ons databestanden verstrekt waarvan een derde beweerde dat het Yahoo-gebruikersgegevens waren. We hebben deze gegevens geanalyseerd met de hulp van externe forensische experts en hebben vastgesteld dat het Yahoo-gebruikersgegevens lijken te zijn. Op basis van een verdere analyse van deze gegevens door de forensische experts, zijn wij van mening dat een niet-geautoriseerde derde partij in augustus 2013 gegevens heeft gestolen die zijn gekoppeld aan meer dan een miljard gebruikersaccounts. We hebben de inbraak die bij deze diefstal hoort niet kunnen identificeren. We denken dat dit incident waarschijnlijk verschilt van het incident dat we op 22 september 2016 hebben bekendgemaakt.
Voor mogelijk getroffen accounts kan de gestolen gebruikersaccountinformatie namen, e-mailadressen, telefoonnummers, geboortedata, gehashte wachtwoorden (met behulp van MD5) en, in sommige gevallen, gecodeerde of niet-gecodeerde beveiligingsvragen en antwoorden bevatten. Het onderzoek geeft aan dat de gestolen informatie geen wachtwoorden bevatte in duidelijke tekst, betaalkaartgegevens of bankrekeninggegevens. Betaalkaartgegevens en bankrekeninggegevens worden niet opgeslagen in het systeem waarvan de onderneming van mening is dat dit is beïnvloed.
Yahoo zei ook dat de hackers de authenticatie "cookies" van het bedrijf konden vervalsen, waardoor ze zonder wachtwoord toegang hadden tot gebruikersaccounts:
Op basis van het lopende onderzoek zijn wij van mening dat een niet-geautoriseerde derde partij onze eigen code heeft gebruikt om te leren hoe cookies kunnen worden vervalst. De externe forensische experts hebben gebruikersaccounts geïdentificeerd waarvan ze geloven dat vervalste cookies zijn genomen of gebruikt. We brengen de betreffende accounthouders op de hoogte en hebben de vervalste cookies ongeldig gemaakt. We hebben een deel van deze activiteit gekoppeld aan dezelfde door de staat gesponsorde acteur die verantwoordelijk wordt geacht voor de gegevensdiefstal die het bedrijf op 22 september 2016 heeft bekendgemaakt.
Als u een Yahoo-account hebt, wordt het tijd dat u uw wachtwoord wijzigt. Maak een sterk wachtwoord en zorg ervoor dat het wachtwoord dat u voor de service gebruikt, nergens anders wordt gebruikt. U moet ook tweefactorauthenticatie inschakelen voor uw Yahoo-account.
