O Yahoo anunciou que os hackers roubaram dados de mais de um bilhão de contas em 2013. Segundo a empresa, os dados podem incluir nomes, IDs de email, números de telefone, senhas com hash e "perguntas e respostas de segurança criptografadas ou não criptografadas".
Esse ataque é separado daquele divulgado pelo Yahoo em setembro, no qual a empresa acreditava que um "ator patrocinado pelo Estado" comprometia seus servidores para acessar dados de usuários de mais de 500 milhões de contas. No entanto, parece que os mesmos hackers conseguiram eliminar mais dados desta vez.
Do anúncio oficial no Tumblr:
Como divulgamos anteriormente em novembro, a aplicação da lei nos forneceu arquivos de dados que terceiros alegaram serem dados de usuários do Yahoo. Analisamos esses dados com a assistência de especialistas forenses externos e descobrimos que parecem ser dados do usuário do Yahoo. Com base em uma análise mais aprofundada desses dados pelos especialistas forenses, acreditamos que um terceiro não autorizado, em agosto de 2013, roubou dados associados a mais de um bilhão de contas de usuário. Não conseguimos identificar a intrusão associada a esse roubo. Acreditamos que esse incidente provavelmente seja diferente do que divulgamos em 22 de setembro de 2016.
Para contas potencialmente afetadas, as informações roubadas da conta do usuário podem incluir nomes, endereços de email, números de telefone, datas de nascimento, senhas com hash (usando MD5) e, em alguns casos, perguntas e respostas de segurança criptografadas ou não criptografadas. A investigação indica que as informações roubadas não incluíram senhas em texto não criptografado, dados do cartão de pagamento ou informações da conta bancária. Os dados do cartão de pagamento e as informações da conta bancária não são armazenados no sistema que a empresa acredita ter sido afetado.
O Yahoo também disse que os hackers conseguiram forjar os "cookies" de autenticação da empresa, permitindo o acesso a contas de usuários sem a necessidade de uma senha:
Com base na investigação em andamento, acreditamos que terceiros não autorizados acessaram nosso código proprietário para aprender a forjar cookies. Os especialistas forenses externos identificaram contas de usuário para as quais acreditam que os cookies falsificados foram retirados ou usados. Estamos notificando os titulares da conta afetados e invalidamos os cookies falsificados. Conectamos parte dessa atividade ao mesmo ator patrocinado pelo Estado, responsável pelo roubo de dados que a empresa divulgou em 22 de setembro de 2016.
Se você possui uma conta do Yahoo, é hora de alterar sua senha. Crie uma senha forte e garanta que a senha usada no serviço não seja reutilizada em nenhum outro lugar. Você também deve ativar a autenticação de dois fatores para sua conta do Yahoo.
