Yahoo 2016 年 9 月 22 日安全公告

根據最近的調查,我們已確認我們的系統在 2014 年底發生用戶帳號資料被竊取事件,事件涉及部分用戶帳號,而我們相信這是受某國政府主導的駭客所爲。帳號資訊可能包括姓名、電郵地址、電話號碼、出生日期、雜湊密碼 (大部分使用 bcrypt 加密),在某些情況下,還包括加密或未加密的提示問題及答案。正在進行的調查顯示,遭竊的資訊不包含不受保護的密碼、付款卡片資料或銀行帳號資訊;支付款卡片資料和銀行帳號資訊並不儲存在本公司認為受到影響的系統中。

以下是常見問題與解答,其中包含有關這些問題的詳細資訊以及用戶可採取額外保護其帳號的措施。

發生什麼事?

Yahoo 最近的調查確認我們的系統在 2014 年底發生用戶帳戶資料竊取事件,事件涉及部分用戶帳號,而我們相信這是受某國政府主導的駭客所爲。我們正與執法部門密切合作,並通知可能受影響的用戶進一步保護其帳戶的方式。

我的帳號有受到影響嗎?

我們正以電郵通知可能受到影響的用戶並在我們的網站上公布更多的訊息。此此外,我們也要求可能受影響的用戶立即變更密碼並採用另一種帳戶驗證方式。

Yahoo 的網絡中是否仍有受某國政府主導的駭客?

正在進行的調查沒有發現任何證據顯示Yahoo 的網絡中仍有受某國政府主導的駭客。

被竊取的資訊包含哪些内容?

被盜的用戶賬號資訊可能包括姓名、電郵地址、電話號碼、出生日期、雜湊密碼 (大部分使用 bcrypt 加密),在某些情況下,還包括加密或未加密的提示問題及答案。正在進行的調查顯示,遭竊的資訊不包含不受保護的密碼、付款卡片資料或銀行帳號資訊;支付款卡片資料和銀行帳號資訊並不儲存在本公司認為受到影響的系統中。

什麼是「雜湊處理」過的密碼?

雜湊法是一種數學函數,能夠將原始的資料串轉換成看似隨機排列的字元。因此,雜湊處理過的密碼沒有辦法轉換回原本的純文字密碼。

什麼是「bcrypt」?

Bcrypt 是一種密碼雜湊處理機制,內含各種安全性功能,包含加鹽以及多種演算方式,可進一步防止密碼遭到破解。

我想我收到了一封關於這個問題的電郵。我怎麼知道它們真的是由 Yahoo 發出?

點選此處 查看我們向受影響使用者發出的通知內容。請注意,當你透過從 Yahoo 網站或 Yahoo Mail 應用程式查看由 Yahoo 所發出關於此事件的電郵時,皆會顯示Yahoo 紫Y圖標 。重要的是,電郵不會要求你點選任何連結,也不會包含附加檔案或要求你提供個人資訊。如果你收到的電郵要求你點選連結、下載附加檔案,或要求你提供個人資訊,則此郵件並非由 Yahoo 所發送,且可能意圖竊取你的個人資訊。請避免從可疑的電郵點選連結或是下載附加檔案。

Yahoo 如何保護我的帳號?

我們已採取措施保護我們的用戶,包括:

  • 我們正在通知受影響的用戶。
  • 我們現在要求可能受影響的用戶立即變更密碼,以及採用另一種帳戶驗證方式。
  • 我們停用了非加密的保密問題及答案,因此用戶無法使用上述資料存取帳戶。
  • 我們建議所有自 2014 年後未有變更密碼的用戶變更密碼。
  • 我們會繼續強化系統,加強偵測及防止用戶帳戶被未經授權者存取。
  • 我們會繼續調查此事件。

如何更改我的密碼或停用提示問題及答案?

你可以通過以下方式更改你的 Yahoo 密碼或提示問題及答案 點選此處

我可以做什麼來保護自己?

我們鼓勵所有用戶遵循這些安全建議:

  • 如果你在其他帳戶使用與 Yahoo帳戶 帳戶相同或類似的密碼、提示問題及答案,請變更所有這類資訊。
  • 檢查你的帳戶是否出現可疑活動。
  • 請密切留意是否收到任何來歷不明的通訊,要求你提供個人資料或請你瀏覽要求提供個人資料的網頁。
  • 請勿點擊可疑電郵的連結或下載可疑電郵的附加檔案。

除此之外,請考慮使用雙重要素驗證,這個簡單的驗證工具會在密碼之外額外要求驗證碼以存取帳號。

我可以額外採取什麽措施來保護我的資訊?

雖然受影響的帳號資訊不受保護的密碼、信用卡資料或銀行帳號資料,我們鼓勵你保持警覺檢查你的銀行對帳單及信用卡帳單。下面是美國三大個人信用報告公司的聯絡資訊,你可以向其索取信用報告。

EquifaxEquifax Credit Information Services, Inc.
P.O.Box 740241
Atlanta, GA 30374		1-800-525-6285www.equifax.com
ExperianExperian Inc.
P.O.Box 9554
Allen, TX 75013		1-888-397-3742www.experian.com
TransUnionTransUnion LLC
P.O.Box 2000
Chester, PA 19022-2000		1-800-680-7289www.transunion.com

你也可能會想對你的信用檔案進行「安全性凍結」(也稱為「信用凍結」)。安全性凍結旨在防止潛在債權人在未經你同意的情況下存取你在個人信用報告公司的信用檔案。設置、解除和/或移除安全性凍結可能會產生費用,一般每次操作 5 到 20 美元不等。與欺詐警報不同,你必須在每間個人信用報告公司分別對你的信用檔案進行安全性凍結。有關安全性凍結的更多資訊,麻煩聯絡上述三大個人信用報告公司或聯邦貿易委員會 (FTC)。由於建立安全性凍結的說明因州而異,請聯絡三大個人信用報告公司以了解更多資訊。

在滿足你的請求之前,個人信用報告公司可能需要適當的身份證明。例如,你可能需要提供:

  • 你的全名及中間名首字母和世代 (例如 Jr.、Sr.、II、III)
  • 你的社會安全號碼
  • 你的出生日期
  • 你過去五年居住的地址
  • 政府頒發的身份證的清晰副本 (例如州駕駛執照或軍人身份證)
  • 你目前居住地址的證明 (例如目前的水電費帳單或銀行對帳單)

你有權索取警方報告並請求如上所述的安全性凍結。個人信用報告公司可能會向你收取最高 10 美元的費用以凍結你的帳號,並可能要求你提供某些個人資訊 (例如你的姓名、社會安全號碼、出生日期和地址) 並在滿足你的安全性凍結請求之前,要求你提供適當的身份證明 (例如政府簽發的身份證複本和帳單或對帳單)。但是,如果你是身份盜用的受害者並且你向個人信用報告公司提供了有效的警方報告,則設置、解除或解除安全性凍結均爲免費。

針對美國居民,你可以聯絡聯邦貿易委員會 (FTC) 以深入瞭解如何保護你的個人資訊。聯邦貿易委員會 (FTC) 的聯絡資訊如下:
 
聯邦貿易委員會
Consumer Response Center
600 Pennsylvania Avenue, NW
Washington, DC 20580
1-877-IDTHEFT (438-4338)
 
針對羅德島居民,你可以從羅德島州檢察長辦公室索取有關保護你個人資訊的訊息:
 
羅德島州檢察長辦公室
Consumer Protection Unit
150 South Main Street
Providence, RI 02903
(401)-274-4400

Tumblr 的帳號有無受到影響?

沒有。偷竊案發時,失竊資料的系統並沒有包含 Tumblr 資料。

我如何能獲得協助保護我的帳號?

如果你要進一步資訊或協助以便保護你帳號, 請移至https://help.yahoo.com,以獲取最即時的資訊以及直接聯絡客戶支援。請不要使用任何僞裝成 Yahoo 提供的支援服務,特別是要收取手續費的免費電話支援服務。請注意:所有 Yahoo 的支援服務均會透過 hk.help.yahoo.com 提供。