Pemberitahuan Keamanan Yahoo 14 December 2016

Yahoo telah mengidentifikasi masalah keamanan data mengenai akun pengguna Yahoo tertentu. Yahoo telah melakukan langkah-langkah untuk mengamankan akun pengguna dan bekerja sama dengan penegak hukum.

Di bawah ini adalah pertanyaan umum yang mengandung keterangan tentang masalah ini dan langkah yang dapat dilakukan pengguna untuk membantu melindungi akun mereka.

Untuk informasi tentang masalah keamanan data yang diungkapkan perusahaan pada 22 September 2016, klik di sini.

Apa yang terjadi?

Pada November 2016, penegak hukum memberi Yahoo file data yang diklaim pihak ketiga sebagai data pengguna Yahoo. Kami menganalisis data ini dengan bantuan pakar forensik luar dan menemukan bahwa data tersebut sepertinya adalah data pengguna Yahoo. Berdasarkan analisis lebih lanjut terhadap data ini oleh pakar forensik, kami yakin ada pihak ketiga yang tidak berwenang telah mencuri data yang terkait dengan lebih dari satu miliar akun pengguna pada Agustus 2013. Yahoo belum dapat mengidentifikasi penyusupan yang terkait dengan pencurian ini.. Kami yakin insiden ini berbeda dengan insiden yang kami ungkapkan pada 22 September 2016. Kami memberi tahu pengguna yang kemungkinan terpengaruh dan telah melakukan langkah-langkah untuk mengamankan akun mereka, termasuk meminta pengguna untuk mengubah kata sandi. Yahoo juga telah menghapus pertanyaan & jawaban keamanan yang tidak dienkripsi sehingga data tersebut tidak dapat digunakan untuk mengakses akun.

Secara terpisah, pakar forensik luar kami telah menyelidiki pembuatan cookie palsu yang dapat memberikan jalan bagi penyusup untuk mengakses akun pengguna tanpa kata sandi. Berdasarkan penyelidikan yang sedang berlangsung, pakar forensik luar telah mengidentifikasi akun pengguna yang diyakini telah dimanfaatkan dengan pengambilan atau penggunaan cookie palsu pada tahun 2015 atau 2016. Perusahaan memberi tahu pemiliki akun yang terpengaruh, dan telah meniadakan cookie palsu tersebut. Kami menganggap aktivitas ini berhubungan dengan pelaku sama yang disponsori negara yang diyakini bertanggung jawab atas pencurian data yang kami ungkapkan pada 22 September 2016.

Apakah akun saya terpengaruh oleh insiden pada Agustus 2013?

Kami memberi tahu pengguna yang kemungkinan terpengaruh dan mengirimkan informasi tambahan di situs web kami. Selain itu, kami mengambil langkah-langkah untuk mengamankan akun pengguna, termasuk meminta pengguna untuk mengubah kata sandi. Yahoo juga telah menghapus pertanyaan & jawaban keamanan yang tidak dienkripsi sehingga data tersebut tidak dapat digunakan untuk mengakses akun.

Apakah akun saya terpengaruh dengan aktivitas pemalsuan cookie?

Berdasarkan penyelidikan yang sedang berlangsung, pakar forensik luar telah mengidentifikasi akun pengguna yang diyakini telah dimanfaatkan dengan pengambilan atau penggunaan cookie palsu pada tahun 2015 atau 2016. Perusahaan memberi tahu pemiliki akun yang terpengaruh, dan telah meniadakan cookie palsu tersebut.

Informasi apa yang diambil pada insiden Agustus 2013?

Bagi akun yang kemungkinan terpengaruh, informasi akun pengguna yang dicuri mungkin meliputi nama, alamat email, nomor telepon, tanggal lahir, kata sandi yang di-hash (menggunakan MD5), dan, dalam beberapa kasus, pertanyaan & jawaban keamanan yang dienkripsi atau tidak dienkripsi. Penyelidikan menunjukkan bahwa informasi yang dicuri tidak mencakup kata sandi dalam teks jelas, data kartu pembayaran, atau informasi rekening bank. Data kartu pembayaran dan informasi rekening bank tidak disimpan di sistem yang diyakini perusahaan diserang.

Apa itu kata sandi yang “di-hash”?

Hashing merupakan fungsi matematis satu arah yang mengubah rangkaian data asli menjadi rangkaian karakter yang terlihat acak. Dengan demikian, kata sandi yang telah di-hash tidak dapat dikembalikan menjadi kata sandi awal teks sederhana. Pada saat insiden Agustus 2013, kami menggunakan MD5 untuk melakukan hashing kata sandi. Kami mulai meningkatkan perlindungan kata sandi untuk menggunakan bcrypt pada musim panas 2013. Bcrypt adalah mekanisme hashing kata sandi yang memadukan fitur keamanan, termasuk salting dan beberapa putaran komputasi, untuk memberikan perlindungan lanjutan terhadap peretasan kata sandi..

Informasi apa yang terpengaruh dengan aktivitas pemalsuan cookie?

Cookie palsu dapat memungkinkan penyusup mengakses akun pengguna tanpa kata sandi. Berdasarkan penyelidikan Yahoo yang sedang berlangsung, kami yakin bahwa pihak ketiga yang tidak berwenang telah mengakses kode milik kami untuk mempelajari cara memalsukan cookie. Pakar forensik luar telah mengidentifikasi akun pengguna yang diyakini telah dimanfaatkan dengan pengambilan atau penggunaan cookie palsu. Perusahaan memberi tahu pemiliki akun yang terpengaruh, dan telah meniadakan cookie palsu tersebut.

Apa itu “cookie”?

Cookie adalah sebuah informasi yang disimpan di komputer yang tujuannya adalah untuk mengidentifikasi browser web saat melakukan interaksi di situs web. Situs web menggunakan cookie untuk mengingat dan mengenali rincian tentang pengunjung, seperti preferensi situs web. Klik di sini untuk informasi lebih lanjut tentang praktik Yahoo terkait dengan cookie dan teknologi serupa.

Apakan insiden ini berhubungan dengan pencurian data yang diumumkan Yahoo pada 22 September 2016?

Kami yakin insiden Agustus 2013 berbeda dengan insiden yang kami ungkapkan pada 22 September 2016.

Kami menganggap aktivitas pemalsuan cookie ini berhubungan dengan pelaku sama yang disponsori negara yang diyakini bertanggung jawab atas pencurian data yang kami ungkapkan pada 22 September 2016. Para pengguna yang menjadi sasaran pelaku yang disponsori negara dikirimi notifikasi tambahan seperti yang ditemukan di sini.

Saya rasa saya menerima satu atau beberapa email tentang masalah ini. Bagaimana cara mengetahui bahwa email tersebut benar-benar berasal dari Yahoo?

Klik di sini untuk melihat konten pemberitahuan kami kepada pengguna yang terpengaruh. Harap perhatikan bahwa email yang berasal dari Yahoo tentang masalah ini akan menampilkan ikon Yahoo Purple Y ikon ketika dilihat melalui situs web Yahoo atau aplikasi Yahoo Mail. Yang perlu diingat, email tersebut tidak meminta Anda untuk mengeklik tautan atau mengandung lampiran, dan tidak meminta informasi pribadi Anda. Jika email yang Anda terima mengenai masalah ini mengingatkan Anda untuk mengeklik tautan, mengunduh lampiran, atau meminta informasi Anda, email tersebut tidak dikirim oleh Yahoo dan merupakan upaya untuk mencuri informasi pribadi Anda. Jangan klik tautan atau mengunduh lampiran dari email yang mencurigakan.

Apa yang dilakukan oleh Yahoo untuk melindungi akun saya?

Kami telah melakukan tindakan untuk melindungi pengguna kami, termasuk:

  • Kami meminta pengguna yang kemungkinan terpengaruh agar mengubah kata sandi mereka.
  • Kami telah menghapus pertanyaan & jawaban keamanan yang tidak dienkripsi sehingga data tersebut tidak dapat digunakan untuk mengakses akun.
  • Kami telah meniadakan cookie palsu dan memperkuat sistem kami untuk melindungi dari serangan serupa.
  • Kami senantiasa meningkatkan pengamanan dan sistem kami agar mampu mendeteksi dan mencegah akses tidak sah terhadap akun pengguna.

Bagaimana cara saya mengubah kata sandi atau menonaktifkan pertanyaan & jawaban keamanan?

Anda dapat mengubah kata sandi Yahoo atau pertanyaan dan jawaban keamanan dengan mengeklik di sini. Kami meminta pengguna yang kemungkinan terpengaruh agar mengubah kata sandi, dan kami telah menghapus pertanyaan & jawaban keamanan agar tidak dapat digunakan untuk mengakses akun.

Apakah ada sesuatu yang dapat saya lakukan untuk melindungi diri saya?

Kami mendorong semua pengguna kami untuk mengikuti rekomendasi keamanan ini:

  • Ubah kata sandi serta pertanyaan keamanan dan jawabannya untuk akun lain yang menggunakan informasi yang sama atau mirip dengan Yahoo.
  • Tinjau semua akun Anda apakah ada aktivitas mencurigakan.
  • Waspadalah dengan setiap komunikasi yang tidak diminta yang meminta informasi pribadi Anda atau mengarahkan Anda ke halaman web yang meminta informasi pribadi.
  • Jangan mengeklik tautan atau mengunduh lampiran dari email yang mencurigakan.

Selain itu, pertimbangkan untuk menggunakan Kunci Akun Yahoo , alat autentikasi sederhana yang secara bersamaan menyingkirkan penggunaan kata sandi di Yahoo.

Apakah akun Tumblr terpengaruh?

Tidak. Sistem yang datanya dicuri pada Agustus 2013 tidak memuat data pengguna Tumblr pada saat pencurian. Selain itu, Yahoo tidak memiliki indikasi bahwa cookie palsu tersebut digunakan untuk mengakses akun Tumblr.

Bagaimana saya dapat memperoleh bantuan dengan akun saya?

Jika Anda membutuhkan informasi atau bantuan lebih lanjut dengan akun Anda, silakan kunjungi https://id.bantuan.yahoo.com, tempat Anda akan menemukan informasi terkini dan mungkin dapat mengakses dukungan pengguna secara langsung. JANGAN TERLIBAT dengan layanan dukungan apa pun selain yang diberikan oleh Yahoo, terutama penyedia layanan dukungan yang membebankan biaya untuk jasa mereka. Yahoo tidak membebankan biaya atas layanan dukungan untuk akun. Harap perhatikan bahwa Yahoo menyediakan semua dukungannya melalui https://id.bantuan.yahoo.com.