執法部門於 2016 年 11 月向 Yahoo 提供了第三方聲稱是 Yahoo 用戶資料的資料檔案。我們在外部鑑識專家的協助下分析了這些資料，發現它似乎是 Yahoo 用戶資料。根據鑑識專家對這些資料的進一步分析，我們認為未經授權的第三方在 2013 年 8 月竊取了與超過 10 億個用戶帳號相關的資料。Yahoo 無法辨認出與此盜竊相關的入侵。我們認為此事件可能與我們在 2016 年 9 月 22 日披露的事件不同。我們正在通知可能受影響的用戶並已採取措施保護他們的帳號，包括要求用戶更改密碼。Yahoo 亦已汰除未加密的提示問題及答案，讓竊用者無法使用該資料存取帳號。

另外，我們的外部鑑識專家一直著手調查有關建立偽造 cookie 的事宜，這些 cookie 可能允許入侵者在沒有密碼的情況下存取用戶帳號。根據持續的調查，外部鑑識專家已辨認出他們認為在 2015 年或 2016 年被盜取或使用了偽造 cookie 的用戶帳號。公司正在通知受影響的帳號持有人，並已汰除偽造的 cookie。我們已將某些活動與我們在 2016 年 9 月 22 日披露的資料盜竊中找出受到特定國家指使的行動者聯繫起來。

我們正在通知可能受影響的用戶並在我們的網站上發布其他資訊。此外，我們正在採取措施保護用戶帳號的安全，包括要求用戶更改密碼。Yahoo 亦已汰除未加密的提示問題及答案，讓竊用者無法使用該資料存取帳號。

根據持續的調查，外部鑑識專家已辨認出他們認為在 2015 年或 2016 年被盜取或使用了偽造 cookie 的用戶帳號。公司正在通知受影響的帳號持有人，並已汰除偽造的 cookie。

對於可能受影響的賬戶，被盜的用戶賬戶資訊可能包括姓名、電郵地址、電話號碼、出生日期、雜湊密碼(使用 MD5)，在某些情況下，還包括加密或未加密的提示問題及答案。調查顯示，遭竊的資訊不包含以文字清楚顯示的密碼、付款卡片資料或銀行帳號資訊。支付款卡片資料和銀行帳號資訊並不儲存在本公司認為受到影響的系統中。

雜湊法是一種數學函數，能夠將原始的資料串轉換成看似隨機排列的字元。因此，雜湊處理過的密碼沒有辦法轉換回原本的純文字密碼。在 2013 年 8 月事件發生時，我們使用 MD5 來為密碼做雜湊處理。我們已在 2013 年夏季開始將密碼防護措施升級為 bcrypt。Bcrypt 是一種密碼雜湊處理機制，內含各種安全性功能，包含加鹽以及多種演算方式，可進一步防止密碼遭到破解。

偽造的 cookie 可能允許入侵者在沒有密碼的情況下存取用戶的帳號。根據 Yahoo 目前仍在進行中的調查顯示，我們認為未經授權的第三方使用我們的專有密碼偽造 cookie。外部鑑識專家已辨認出被盜取或使用了偽造 cookie 的用戶帳號。公司正在通知受影響的帳號持有人，並已汰除偽造的 cookie。

cookie是一個小型文字檔案, 存取於電腦中, 以便於連上網站時能辨識網頁瀏覽器。網站使用 cookie 來記住和辨別訪問者的詳細資訊，例如網站偏好。點選此處 深入了解 Yahoo 對於 cookie 或類似科技所採取的措施。

我們認為 2013 年 8 月的事件可能與我們在 2016 年 9 月 22 日披露的事件不同。

我們已將某些 cookie 偽造活動與我們在 2016 年 9 月 22 日披露的資料盜竊中找出受到特定國家指使的行動者聯繫起來。我們已另發送通知予這些被某國政府主導的駭客鎖定的用戶，可參考 此處。

點選此處 查看我們向受影響用戶發出的通知內容。請注意，當你透過從 Yahoo 網站或 Yahoo Mail 應用程式查看由 Yahoo 所發出關於此事件的電郵時，皆會顯示Yahoo 圖示。重要的是，電郵不會要求你點選任何連結，也不會包含附加檔案或要求你提供個人資訊。如果你收到的電郵要求你點選連結、下載附加檔案，或要求你提供個人資訊，則此郵件並非由 Yahoo 所發送，且可能意圖竊取你的個人資訊。請避免從可疑的電郵點選連結或是下載附加檔案。避免點選此類可疑電郵中的連結或下載可疑電郵的附加檔案。

我們已採取措施保護我們的用戶，包括：

• 我們要求可能受影響的用戶更改密碼。
• 我們停用了非加密的保密問題及答案，因此用戶無法使用上述資料存取帳戶。
• 我們已汰除偽造的 cookie 並加强我們的系統，以保護用戶免受類似攻擊。
• 我們不斷加強我們的安全措施和系統，以檢測和防止未經授權訪問用戶帳號。

你可以通過以下方式更改你的 Yahoo 密碼或提示問題及答案 點選此處。我們要求可能受影響的用戶更改他們的密碼，並且已汰除未加密的提示問題及答案，讓竊用者無法使用該資料存取帳號。

我們鼓勵所有用戶遵循這些安全建議：

• 如果你在其他帳戶使用與 Yahoo帳戶 帳戶相同或類似的密碼、提示問題及答案，請變更所有這類資訊。
• 檢查你所有帳戶是否出現可疑活動。
• 請密切留意是否收到任何來歷不明的通訊，要求你提供個人資料或請你瀏覽要求提供個人資料的網頁。
• 請勿點擊可疑電郵的連結或下載可疑電郵的附加檔案。

除此之外，請考慮使用雙重要素驗證，這個簡單的驗證工具會在密碼之外額外要求驗證碼以存取帳號。

雖然受影響的帳號資訊不包括明碼、信用卡資料或銀行帳號資料，我們鼓勵你保持警覺檢查你的銀行對帳單及信用卡帳單。下面是美國三大個人信用報告公司的聯絡資訊，你可以向其索取信用報告。

為了保護自己免受可能的身份盜竊，請考慮在你的信用檔案中設置欺詐警報。你也可能會想對你的信用檔案進行「安全性凍結」(也稱為「信用凍結」)。安全性凍結旨在防止潛在債權人在未經你同意的情況下存取你在消費者報告機構的信用檔案。設置、解除和/或移除安全性凍結可能會產生費用，一般每次操作 5 到 20 美元不等。與欺詐警報不同，你必須在每間消費者報告公司分別對你的信用檔案進行安全性凍結。有關安全性凍結的更多資訊，麻煩聯絡上述三大個人信用報告公司或聯邦貿易委員會 (FTC)。由於建立安全性凍結的說明因州而異，請聯絡三大個人信用報告公司以了解更多資訊。

在滿足你的請求之前，個人信用報告公司可能需要適當的身份證明。例如，你可能需要提供：

• 你的全名及中間名首字母和世代 (例如 Jr.、Sr.、II、III)
• 你的社會安全號碼
• 你的出生日期
• 你過去五年居住的地址
• 政府頒發的身份證的清晰副本 (例如州駕駛執照或軍人身份證)
• 你目前居住地址的證明 (例如目前的水電費帳單或銀行對帳單)

你有權索取警方報告並請求如上所述的安全性凍結。個人信用報告公司可能會向你收取最高 10 美元的費用以凍結你的帳號，並可能要求你提供某些個人資訊 (例如你的姓名、社會安全號碼、出生日期和地址) 並在滿足你的安全性凍結請求之前，要求你提供適當的身份證明 (例如政府簽發的身份證複本和帳單或對帳單)。但是，如果你是身份盜用的受害者並且你向個人信用報告公司提供了有效的警方報告，則設置、解除或解除安全性凍結均爲免費。

沒有。2013 年 8 月資料失竊資料的系統並沒有包含 Tumblr 資料。此外，Yahoo 並無發現任何跡象指出有人使用遭偽造的 cookie 存取 Tumblr 帳號。

如果你要進一步資訊或協助以便保護你帳號, 請移至hk.help.yahoo.com，以獲取最即時的資訊以及安全方面的顧客支援。請不要使用任何非 Yahoo 提供的支援服務，特別是要收取手續費的支援服務。Yahoo 不會對其帳號的支援服務收費。請注意，所有 Yahoo 的支援服務均會透過 hk.help.yahoo.com 提供。