Yahoo ha annunciato che gli hacker hanno rubato dati da oltre un miliardo di account nel 2013. Secondo la società, i dati potrebbero includere nomi, ID e-mail, numeri di telefono, password con hash e "domande e risposte sulla sicurezza crittografate o non crittografate".
Questo attacco è separato da quello annunciato da Yahoo a settembre, in cui la società riteneva che un "attore sponsorizzato dallo stato" compromettesse i suoi server per accedere ai dati degli utenti da oltre 500 milioni di account. Tuttavia, sembra che gli stessi hacker siano stati in grado di sottrarre più dati questa volta.
Dall'annuncio ufficiale su Tumblr:
Come precedentemente comunicato a novembre, le forze dell'ordine ci hanno fornito file di dati che una terza parte sosteneva fossero dati utente di Yahoo. Abbiamo analizzato questi dati con l'assistenza di esperti forensi esterni e abbiamo scoperto che sembra essere un dato utente di Yahoo. Sulla base di ulteriori analisi di questi dati da parte di esperti forensi, riteniamo che una terza parte non autorizzata, nell'agosto 2013, abbia rubato i dati associati a oltre un miliardo di account utente. Non siamo stati in grado di identificare l'intrusione associata a questo furto. Riteniamo che questo incidente sia probabilmente distinto dall'incidente che abbiamo divulgato il 22 settembre 2016.
Per gli account potenzialmente interessati, le informazioni sull'account utente rubato potrebbero includere nomi, indirizzi e-mail, numeri di telefono, date di nascita, password con hash (utilizzando MD5) e, in alcuni casi, domande e risposte sulla sicurezza crittografate o non crittografate. L'indagine indica che le informazioni rubate non includevano le password in chiaro, i dati della carta di pagamento o le informazioni del conto bancario. I dati della carta di pagamento e i dati del conto bancario non sono memorizzati nel sistema che la società ritiene sia stato interessato.
Yahoo ha anche affermato che gli hacker sono stati in grado di falsificare i "cookie" di autenticazione dell'azienda, consentendo loro di accedere agli account utente senza la necessità di una password:
Sulla base dell'indagine in corso, riteniamo che una terza parte non autorizzata abbia avuto accesso al nostro codice proprietario per imparare a forgiare i cookie. Gli esperti forensi esterni hanno identificato gli account degli utenti per i quali ritengono che siano stati utilizzati o utilizzati cookie contraffatti. Stiamo informando i titolari di account interessati e abbiamo invalidato i cookie contraffatti. Abbiamo collegato parte di questa attività allo stesso attore sponsorizzato dallo stato ritenuto responsabile del furto di dati divulgato dalla società il 22 settembre 2016.
Se hai un account Yahoo, è ora che cambi la password. Crea una password complessa e assicurati che la password che usi sul servizio non venga riutilizzata da nessun'altra parte. Dovresti anche abilitare l'autenticazione a due fattori per il tuo account Yahoo.
