司法單位在 2016 年 11 月提供了 Yahoo奇摩 一些資料檔案，其經第三方宣稱為 Yahoo奇摩 使用者資料。藉由外部鑑識專家的協助，我們分析了這些資料並發現其顯示為 Yahoo奇摩 使用者資料。根據鑑識專家對這些資料的進一步分析，我們認為未經授權的第三方在 2013 年 8 月竊取了與超過 10 億個使用者帳號相關的資料。Yahoo奇摩 沒能識別與此盜竊相關的入侵。我們認為此事件應該與我們在 2016 年 9 月 22 日披露的事件不同。我們正在通知可能受影響的使用者並已採取措施保護他們的帳號，包括要求使用者更改密碼。Yahoo奇摩 也已汰除未加密的密碼提示問題及答案，避免他人藉此存取帳號。

另外，我們的外部鑑識專家正在調查偽造 Cookie 的來源，這些 Cookie 可能允許入侵者在沒有密碼的情況下訪問使用者帳號。根據目前的調查，外部鑑識專家已經識別出一些他們認為在 2015 年或 2016 年曾遭到偽造 Cookie 獲取或使用的使用者帳號。公司正在通知受影響的帳號持有人，並已使偽造的 Cookie 無效。我們已將其中一些活動與特定國家支持的行為者聯繫起來，據信該行為者還應該對我們在 2016 年 9 月 22 日披露的資料竊取事件負責。

我們正在通知可能受影響的使用者並在我們的網站上發布更多資訊。此外，我們正在採取措施保護使用者帳號的安全，包括要求使用者更改密碼。Yahoo奇摩 也已汰除未加密的密碼提示問題及答案，避免他人藉此存取帳號。

根據目前的調查，外部鑑識專家已經識別出一些他們認為在 2015 年或 2016 年曾遭到偽造 Cookie 獲取或使用的使用者帳號。公司正在通知受影響的帳號持有人，並已使偽造的 Cookie 無效。

在受影響的帳號中，受竊的使用者帳號資訊可能包含姓名、電子信件地址、電話號碼、生日、雜湊處理過的密碼（使用 MD5 加密），並且在某些案例中包含加密或未加密的密碼提示問題及答案。調查顯示受竊的資訊不包含以文字清楚顯示的密碼、付款卡片資料或銀行帳號資訊。付款卡片資料和銀行帳號資訊並沒有儲存在本公司認為受到影響的系統中。

雜湊處理是一種單向數學函數，可將原始資料字串轉換為看似隨機的字元字串。因此，雜湊處理過的密碼沒有辦法轉換回原本的純文字密碼。在 2013 年 8 月事件發生時，我們使用 MD5 來為密碼做雜湊處理。我們已在 2013 年夏季開始將密碼防護措施升級為 bcrypt。Bcrypt 是一種密碼雜湊處理機制，結合添加隨機鹽值 (salting) 和多輪運算等安全功能，提供抵禦密碼破解的進階保護。

偽造的 Cookie 可以讓入侵者在沒有密碼的情況下存取使用者的帳號。根據正在進行的 Yahoo奇摩 調查，我們相信一個未經授權的第三方擅自存取了我們的專有程式碼，以獲取偽造Cookie的方法。外部鑑識專家已經識別出一些他們認為曾遭到偽造 Cookie 獲取或使用的使用者帳號。公司正在通知受影響的帳號持有人，並已使偽造的 Cookie 無效。

Cookie 是儲存在電腦上的少許資訊，目的是在與網站互動時用來辨識瀏覽器。網站使用 Cookie 來記住和識別存取者的詳細資訊，例如網站偏好。請點擊此處 了解更多有關 Yahoo奇摩 在 Cookie 和類似技術方面的做法。

我們認為 2013 年 8 月的事件應該與我們在 2016 年 9 月 22 日披露的事件不同。

我們已將部分 Cookie 偽造活動與據信應為我們於 2016 年 9 月 22 日披露的資料盜竊事件負責的特定國家所支持的行為者相關聯。由特定國家指使的駭客攻擊目標的用戶都已額外收到通知，請見這裡。

如要查看我們向受影響使用者發出的通知內容，請點選此處。請注意，不管您是在 Yahoo奇摩網站或 Yahoo奇摩信箱應用程式中查看，Yahoo奇摩針對此問題所寄送的電子信件中會顯示 Yahoo奇摩 圖示。重要的是，電子信件不會要求您點選任何連結，信中也不會有任何附件，更不會要求您提供個人資訊。如果您收到與這些問題相關的電子信件，但信中提示您點選連結、下載附件或請您提供資料，該電子信件絕非來自 Yahoo奇摩，甚至可能有意竊取您的個人資料。切勿在這類可疑的電子信件中點選連結或下載附件。

我們採取的使用者保護措施包括：

• 要求可能受影響的使用者變更密碼。
• 讓未加密的密碼提示問題和解答失效，使其無法用來存取帳號。
• 偽造的 Cookie 目前已經無效，我們也已採取更嚴密的措施防範系統遭到類似攻擊。
• 我們會持續強化安全機制與系統以偵測並防止未經授權的用戶帳號存取行為。

您可以點選此處，變更您的 Yahoo奇摩密碼或密碼提示問題和解答。要求可能受影響的使用者變更密碼，並且我們已使未加密的安全問題和答案無效，以免它們被用於訪問帳號。

我們建議所有使用者遵循以下安全建議：

• 對於您擁有的任何其他帳號，若其與您的 Yahoo 帳戶 帳號使用相同或類似資訊，請變更您的密碼、密碼提示問題與答案。
• 檢查您的所有帳號是否有可疑活動。
• 留意任何不請自來的通訊內容，這些通訊內容會請您提供個人資訊，或邀您前往某個網頁提供個人資訊。
• 避免點選可疑電子信件中的連結或下載其附件。

此外，您也可以考慮改用兩步驟驗證，這種簡單的驗證工具更為安全，除了您原本的密碼之外，還會要求您輸入驗證碼。

雖然受竊的使用者帳號資訊內並無包含以明確文字顯示的密碼、付款卡片資料或銀行帳號的資訊，我們還是建議您小心為上，檢閱您的帳號報表並監控您的信用報告。以下提供三家消費者報告機構的聯絡資訊，您可以向他們申請信用報告。

為保護您的身分不被竊盜，請考慮在您的信用檔案內加上詐騙通知。您也可以考慮為信用檔案申請「安全性凍結」(也稱為「信用凍結」)。安全性凍結可以防止債權人在未經您同意的情形下存取您在消費者報告機構的信用檔案。申請、解除及/或移除安全性凍結時可能需要收取費用，一般來說，每次操作的價格約為 5 至 20 美元不等。與詐騙通知不同，您必須為您存在每一個消費者報告機關內的信用檔案加入安全性凍結。有關安全性凍結的詳細資訊，請聯絡上述三家全國消費者報告機構或 FTC。由於每個州之間建立安全性凍結的方式不同，請聯絡該三間消費者報告機關取得進一步的資訊。

在實際處理您的要求之前，消費者報告機構可能會請您提供適當的身分識別資料。例如，您可能會需要提供：

• 全名及中間名的首位字母和世代稱謂 (例如 Jr.、Sr.、II、III)
• 社會安全號碼
• 出生日期
• 過去五年的居住地址
• 政府核發的身分證件清晰副本 (例如州駕駛執照或軍人身分證)
• 當前居住地址證明 (例如當前的水電費帳單或銀行帳戶對帳單)

您有權利取得報案證明，並依上述方式申請安全性凍結。消費者報告機構可能會向您收取最高 10 美元的帳戶安全性凍結費用，並且可能會在處理您的安全性凍結申請前，要求您提供特定的個人資訊 (例如姓名、社會安全碼、出生日期和地址) 和適當的身分識別資料 (例如政府核發的身分證副本以及帳單或對帳單)。然而，如果您是身分資料遭竊的受害者，而且向消費者報告機構提供有效的報案證明，則可免費申請、解除或移除安全性凍結。

否。2013 年 8 月資料遭竊的系統在竊案發生當下並未存放任何 Tumblr 使用者資料。此外，Yahoo奇摩 沒有查到任何跡象表明偽造的 Cookie 被用於訪問 Tumblr 帳號。

如果您需要更多與帳號相關的資訊或協助，請前往 https://help.yahoo.com 參閱最新資訊，您也可以在該網頁直接取得客戶支援服務。請勿聯絡非由 Yahoo奇摩 提供的支援服務，尤其是需要付費的支援服務提供商。Yahoo奇摩 帳號支援服務不會收費。請注意，Yahoo奇摩 所有支援都是透過tw.help.yahoo.com提供。