Pada November 2016, penegak hukum memberi Yahoo file data yang diklaim pihak ketiga sebagai data pengguna Yahoo. Kami menganalisis data ini dengan bantuan pakar forensik luar dan menemukan bahwa data tersebut sepertinya adalah data pengguna Yahoo. Berdasarkan analisis lebih lanjut oleh pakar forensik terhadap data ini, kami yakin bahwa pihak ketiga yang tidak sah pada Agustus 2013 telah mencuri data yang berkaitan dengan lebih dari satu miliar akun pengguna. Yahoo belum dapat mengidentifikasi penyusupan yang terkait dengan pencurian ini. Kami yakin insiden ini kemungkinan berbeda dari insiden yang kami ungkapkan pada 22 September 2016. Kami memberi tahu pengguna yang kemungkinan terpengaruh dan telah melakukan langkah-langkah untuk mengamankan akun mereka, termasuk meminta pengguna untuk mengubah kata sandi. Yahoo juga membatalkan pertanyaan dan jawaban keamanan yang tidak terenkripsi sehingga tidak dapat digunakan untuk mengakses akun.

Secara terpisah, pakar forensik luar kami telah menyelidiki pembuatan cookie palsu yang dapat memberikan jalan bagi penyusup untuk mengakses akun pengguna tanpa kata sandi. Berdasarkan penyelidikan yang sedang berlangsung, pakar forensik luar telah mengidentifikasi akun pengguna yang diyakini telah dimanfaatkan dengan pengambilan atau penggunaan cookie palsu pada tahun 2015 atau 2016. Perusahaan memberi tahu pemilik akun yang terpengaruh, dan telah membatalkan cookie palsu tersebut. Kami menganggap aktivitas ini berhubungan dengan pelaku sama yang disponsori negara yang diyakini bertanggung jawab atas pencurian data yang kami ungkapkan pada 22 September 2016.

Kami memberi tahu pengguna yang kemungkinan terpengaruh dan mengirimkan informasi tambahan di situs web kami. Selain itu, kami mengambil langkah-langkah untuk mengamankan akun pengguna, termasuk meminta pengguna untuk mengubah kata sandi. Yahoo juga membatalkan pertanyaan dan jawaban keamanan yang tidak terenkripsi sehingga tidak dapat digunakan untuk mengakses akun.

Berdasarkan penyelidikan yang sedang berlangsung, pakar forensik luar telah mengidentifikasi akun pengguna yang diyakini telah dimanfaatkan dengan pengambilan atau penggunaan cookie palsu pada tahun 2015 atau 2016. Perusahaan memberi tahu pemilik akun yang terpengaruh, dan telah membatalkan cookie palsu tersebut.

Bagi akun yang kemungkinan terpengaruh, informasi akun pengguna yang dicuri mungkin meliputi nama, alamat email, nomor telepon, tanggal lahir, kata sandi yang di-hash (menggunakan MD5), dan, dalam beberapa kasus, pertanyaan dan jawaban keamanan yang dienkripsi atau tidak dienkripsi. Penyelidikan menunjukkan bahwa informasi yang dicuri tidak mencakup kata sandi dalam teks jelas, data kartu pembayaran, atau informasi rekening bank. Data kartu pembayaran dan informasi rekening bank tidak disimpan di sistem yang diyakini perusahaan diserang.

Hashing adalah fungsi matematika satu arah yang mengubah string data asli menjadi string karakter yang kelihatannya acak. Dengan demikian, kata sandi yang telah di-hash tidak dapat dikembalikan menjadi kata sandi awal teks sederhana. Pada saat insiden Agustus 2013, kami menggunakan MD5 untuk melakukan hashing kata sandi. Kami mulai meningkatkan perlindungan kata sandi untuk menggunakan bcrypt pada musim panas 2013. Bcrypt adalah mekanisme hashing kata sandi yang menggabungkan fitur keamanan, termasuk salting dan beberapa putaran komputasi, untuk memberikan perlindungan tingkat lanjut terhadap peretasan kata sandi.

Cookie palsu dapat memungkinkan penyusup mengakses akun pengguna tanpa kata sandi. Berdasarkan penyelidikan Yahoo yang sedang berlangsung, kami yakin bahwa pihak ketiga yang tidak sah telah mengakses kode milik kami untuk mempelajari cara memalsukan cookie. Pakar forensik luar telah mengidentifikasi akun pengguna yang diyakini telah dimanfaatkan dengan pengambilan atau penggunaan cookie palsu. Perusahaan memberi tahu pemilik akun yang terpengaruh, dan telah membatalkan cookie palsu tersebut.

Cookie adalah sebuah informasi yang disimpan di komputer yang tujuannya adalah untuk mengidentifikasi browser web saat melakukan interaksi di situs web. Situs web menggunakan cookie untuk mengingat dan mengenali rincian tentang pengunjung, seperti preferensi situs web. Klik di sini untuk informasi lebih lanjut tentang praktik Yahoo terkait cookie dan teknologi serupa.

Kami yakin insiden Agustus 2013 berbeda dengan insiden yang kami ungkapkan pada 22 September 2016.

Kami menganggap aktivitas pemalsuan cookie ini berhubungan dengan pelaku sama yang disponsori negara yang diyakini bertanggung jawab atas pencurian data yang kami ungkapkan pada 22 September 2016. Para pengguna yang menjadi sasaran pelaku yang disponsori negara dikirimi notifikasi tambahan seperti yang ditemukan di sini.

Klik di sini untuk melihat konten pemberitahuan kami kepada pengguna yang terpengaruh. Harap perhatikan bahwa email dari Yahoo tentang masalah ini akan menampilkan ikon Yahoo jika dilihat melalui situs web Yahoo atau aplikasi Yahoo Mail. Yang penting, email tidak meminta Anda untuk mengeklik tautan apa pun atau berisi lampiran dan tidak meminta informasi pribadi Anda. Jika email yang Anda terima mengenai masalah ini mengingatkan Anda untuk mengeklik tautan, mengunduh lampiran, atau meminta informasi Anda, email tersebut tidak dikirim oleh Yahoo dan merupakan upaya untuk mencuri informasi pribadi Anda. Hindari mengeklik tautan atau mengunduh lampiran dari email yang mencurigakan tersebut.

Kami telah mengambil tindakan untuk melindungi pengguna kami, termasuk:

• Kami meminta pengguna yang kemungkinan terpengaruh agar mengubah kata sandi mereka.
• Kami membatalkan pertanyaan dan jawaban keamanan yang tidak terenkripsi sehingga tidak dapat digunakan untuk mengakses akun.
• Kami telah meniadakan cookie palsu dan memperkuat sistem kami untuk melindungi dari serangan serupa.
• Kami senantiasa meningkatkan pengamanan dan sistem kami agar mampu mendeteksi dan mencegah akses tidak sah terhadap akun pengguna.

Anda dapat mengubah kata sandi Yahoo atau pertanyaan keamanan dan jawabannya dengan mengeklik di sini. Kami meminta pengguna yang kemungkinan terpengaruh agar mengubah kata sandi, dan kami telah menghapus pertanyaan dan jawaban keamanan agar tidak dapat digunakan untuk mengakses akun.

Kami menganjurkan semua pengguna kami untuk mengikuti rekomendasi keamanan ini:

• Ubah kata sandi serta pertanyaan keamanan dan jawabannya untuk akun lain yang menggunakan informasi yang sama atau mirip dengan Yahoo Anda.
• Tinjau semua akun Anda apakah ada aktivitas mencurigakan.
• Berhati-hatilah dengan setiap komunikasi yang tidak diminta yang meminta informasi pribadi Anda atau mengarahkan Anda ke halaman web yang meminta informasi pribadi.
• Hindari mengklik tautan atau mengunduh lampiran dari email yang mencurigakan.

Selain itu, pertimbangkan untuk beralih ke Verifikasi 2 Tahap , alat autentikasi sederhana yang lebih aman dan memerlukan kode verifikasi selain kata sandi Anda.

Meskipun informasi akun yang terpengaruh tidak termasuk kata sandi dalam teks jelas, data kartu pembayaran, atau informasi rekening bank, kami menyarankan Anda untuk tetap waspada dengan meninjau laporan rekening dan memantau laporan kredit Anda. Di bawah ini adalah informasi kontak untuk tiga agen pelaporan konsumen nasional tempat Anda dapat memperoleh laporan kredit.

Untuk melindungi diri Anda dari kemungkinan pencurian identitas, pertimbangkan untuk memasang peringatan penipuan di riwayat kredit Anda. Anda juga mungkin ingin menempatkan "pembekuan keamanan" (juga dikenal sebagai "pembekuan kredit") pada riwayat kredit Anda. Pembekuan keamanan dirancang untuk mencegah calon kreditur mengakses riwayat kredit Anda di agen pelaporan konsumen tanpa persetujuan Anda. Mungkin ada biaya untuk menempatkan, mengangkat, dan/atau menghapus pembekuan keamanan, yang umumnya berkisar antara $5-$20 per tindakan. Tidak seperti peringatan penipuan, Anda harus memasang pembekuan keamanan pada riwayat kredit Anda di setiap agensi pelaporan konsumen secara terpisah. Untuk informasi lebih lanjut tentang pembekuan keamanan, Anda dapat menghubungi tiga agen pelaporan konsumen nasional atau FTC seperti dijelaskan di atas. Karena petunjuk untuk menerapkan pembekuan keamanan berbeda dari negara satu ke negara lainnya, silakan hubungi tiga agensi pelaporan konsumen tersebut untuk mengetahui informasi lebih lanjut.

Agen pelaporan konsumen mungkin memerlukan identifikasi yang tepat sebelum memenuhi permintaan Anda. Misalnya, Anda mungkin diminta untuk memberikan:

• Nama lengkap Anda dengan inisial tengah dan generasi (seperti Jr., Sr., II, III)
• Nomor Jaminan Sosial Anda
• Tanggal lahir Anda
• Alamat tempat tinggal Anda selama lima tahun terakhir
• Salinan kartu identitas yang dikeluarkan pemerintah (seperti SIM atau kartu ID militer) yang dapat dibaca
• Bukti alamat tempat tinggal Anda saat ini (seperti tagihan utilitas atau laporan rekening saat ini)

Anda berhak mendapatkan laporan polisi dan meminta pembekuan keamanan seperti dijelaskan di atas. Agen pelaporan konsumen dapat membebankan biaya hingga $10 untuk melakukan pembekuan keamanan pada akun Anda, dan mungkin mewajibkan Anda memberikan informasi pribadi tertentu (seperti nama, nomor Jaminan Sosial, tanggal lahir, dan alamat Anda) dan identitas yang tepat (seperti salinan kartu ID yang dikeluarkan pemerintah dan tagihan atau laporan rekening) sebelum memenuhi permintaan Anda untuk pembekuan keamanan. Namun, tidak ada biaya untuk menempatkan, mencabut, atau menghapus pembekuan keamanan jika Anda telah menjadi korban pencurian identitas dan Anda memberikan laporan polisi yang valid kepada agen pelaporan konsumen.

Tidak. Sistem yang datanya dicuri pada Agustus 2013 tidak memuat data pengguna Tumblr pada saat pencurian. Selain itu, Yahoo tidak memiliki indikasi bahwa cookie palsu tersebut digunakan untuk mengakses akun Tumblr.

Jika Anda memerlukan informasi lebih lanjut atau bantuan dengan akun Anda, silakan kunjungi id.bantuan.yahoo.com, tempat Anda dapat menemukan informasi terbaru dan mungkin dapat mengakses dukungan pelanggan langsung. JANGAN TERLIBAT dengan layanan dukungan apa pun selain yang disediakan oleh Yahoo, khususnya penyedia layanan dukungan yang mengenakan biaya untuk layanan mereka. Yahoo tidak membebankan biaya atas layanan dukungan untuk akun. Harap perhatikan bahwa Yahoo menyediakan semua dukungannya melalui id.bantuan.yahoo.com.