帳號安全議題常見問答 (2016年12月14日)

Yahoo已調查出某些用戶帳號的資料安全問題。Yahoo已經採取措施以保護這些用戶帳號安全並與警方密切合作。
 
用戶可參考以下的FAQ內容,立即採取帳號保護措施。
 
關於Yahoo於2016年9月22日所公布的資安事件,請點選連結參考相關資訊。

發生什麼事?

Yahoo在2016年11月收到警方所提供第三人宣稱為Yahoo用戶資料的資料檔案。經由外部鑑識專家的協助,我們分析後發現這些資料是Yahoo用戶資料。根據鑑識專家對於這些資料的進一步分析,我們認為未經授權的第三者於2013年8月竊取了超過10億筆用戶帳號。我們尚無法判別與該次資料竊取有關的入侵行為。我們相信該次事件應與我們於2016年9月22日揭露的事件為不同的事件。我們正在通知可能受影響的用戶,並採取措施來保護這些用戶帳號,包括要求用戶更換密碼。Yahoo也將未加密的安全驗證問題及答案作廢,讓這些問題及答案不能再被用於帳號登入。

另外,我們的外部鑑識專家已經在調查可能讓入侵者不需密碼即得進入用戶帳號的偽造cookie如何產生。根據目前仍在進行中的調查,外部鑑識專家已辨認出他們認為有偽造cookie在2015及2016年被取得或使用的用戶帳號,我們正在通知受影響的用戶,且已將遭到偽造的cookie作廢。我們已能將部分的偽造活動與據信應為我們於2016年9月22日揭露的受某國政府主導的資料竊取事件相連結。

我的帳號有受到2013年8月事件的影響嗎?

我們正以電子郵件通知可能受到影響的用戶並在我們的網站上公布更多的訊息。

此外,我們也採取措施來保護用戶帳號,包括要求用戶更換密碼。Yahoo也將未加密的安全驗證問題及答案作廢,讓這些問題及答案不能再被用於帳號登入。

我的帳號有受到偽造cookie的活動影響嗎?

根據現正進行的調查,外部鑑識專家已辨認出在2015或2016年遭到偽造cookie被取得或使用的帳戶。我們正在通知受影響的用戶,且已將遭到偽造的cookie作廢。

哪些資訊在2013年8月的事件中遭到竊取?

關於可能受到影響的帳號,這些帳號資料被竊取的資訊可能包括用戶姓名、電子信箱地址、電話號碼、出生日期、以hash方式加密的密碼(使用MD5加密機制),以及在有些情況,加密或未加密的安全驗證問題及答案。 根據調查顯示,被竊取的資訊不包括使用明碼的密碼、信用卡資料或銀行帳號資料。信用卡及銀行帳號資訊並未儲存在受到影響的系統中。

什麼是雜湊密碼(hashed password)?

hash是一個單向的數學函數,能將數據的原始字串(original string)轉換成看似隨機的字符。如此一來,以hash方式加密的密碼就無法被轉換成原始的密碼明文。在2013年8月事件發生時,我們使用MD5機制以hash方式加密密碼。我們在2013年夏天開始將密碼保護升級到bcrypt。bcrypt是一個結合安全功能的密碼加密(hash)機制,包含加鹽(salting)以及多輪運算(multiple rounds of computation),針對密碼破解提供先進的保護機制。

那些資料會被這些cookie偽造活動所影響?

偽造活動可能讓入侵者不需密碼即得進入用戶帳號,根據目前仍在進行中的調查顯示,我們認為未經授權的第三者使用我們的專有密碼偽造cookie。外部鑑識專家已辨認出遭到偽造cookie使用的帳戶。我們正在通知受影響的用戶,且已將遭到偽造的cookie作廢。

什麼是cookie?

cookie是一個小型文字檔案, 存取於電腦中, 以便於連上網站時能辨識網頁瀏覽器, 網站使用cookie能夠記憶或辨別使用者身份, 例如網站的偏好度等, 請點選這個連結 , 以獲取更多有關Yahoo cookie或相關科技的資訊。

這些事件是否跟Yahoo於今年9月22日所宣布的資料竊取事件有關?

我們認為2013年8月所發生的事件與我們在今年9月22日所披露的事件不同。

我們已發現某些cookie偽造活動與2016年9月22日揭露的某國政府主導的駭客入侵有關聯。我們已另發送通知予這些被某國政府主導的駭客鎖定的用戶,可參考此處

我收到關於此事件的電子郵件,我要如何確定真的是Yahoo寄出的?

點選此處查看我們對可能受影響的用戶所發出的通知。請注意,當您透過從Yahoo網站或Yahoo 電子信箱App查看由Yahoo所發出關於此事件的電子郵件時,皆會顯示Yahoo的圖示 Purple Y icon。請注意Yahoo發出的電子郵件不會要求您點選任何連結,也不會包含附加檔案或要求您提供個人資訊。如果您收到的電子郵件要求您點選連結、下載附加檔案,或詢問您的個人資訊,則此郵件並非由Yahoo所發送,且可能意圖竊取您的個人資訊。請避免從可疑的電子郵件點選連結或是下載附加檔案。

Yahoo如何保護我的帳號?

我們已採取以下措施來保護我們的用戶,包括:

  • 我們正在要求可能受影響的用戶更改密碼。
  • 我們已將未加密的安全驗證問題及答案作廢,這些問題及答案不能再被用於登入帳號。
  • 我們已將遭到偽造的cookie作廢,並強化我們的系統以保護用戶安全。
  • 我們持續強化我們的安全機制及系統,以偵測並防止未經授權的登入。

我如何更改密碼或讓安全驗證問題及答案失效?

您可以點選此處更改您的密碼或是取消安全驗證問題及答案。我們正在通知可能受影響的用戶更換密碼,Yahoo也將未加密的安全驗證問題及答案作廢,讓這些問題及答案不能再被用於帳號登入。

我能採取什麼做法來保護我自己?

我們鼓勵我們所有的用戶採取以下有關安全的建議:

  • 您的其他帳號如果使用與您Yahoo帳號相同或類似的資訊,建議您也更改您其他帳號的密碼及安全驗證問題與答案。
  • 檢查您的帳號是否有可疑的活動。
  • 留意是否有任何不明來源的訊息詢問您的個人資訊或是引導您至任何詢問您個人資訊的網頁。
  • 避免在可疑的電子郵件中點選連結或下載附件。

除此之外,請您考慮使用Yahoo動態密碼認證服務,這個簡單的驗證工具將取代使用密碼的需要。

我可以額外採取什麼措施來保護我的資訊?

雖然受影響的帳號資訊不包括明碼、信用卡資料或銀行帳號資料,我們鼓勵您保持警覺檢視您的銀行對帳單及信用卡帳單。

Tumblr的帳號有無受到影響 ?

沒有, 2013年8月失竊資料的系統並沒有包含Tumblr資料。此外,並沒有跡象指出遭偽造cookie被用以進入Tumblr帳號。

我如何能獲得協助以保護我的帳號?

如果您需要進一步資訊或協助以便保護您的帳號, 請直接到以下網頁:https://tw.help.yahoo.com,以獲取最即時的資訊以及安全方面的顧客支援。請不要使用或接觸任何非Yahoo提供的支援服務,特別是要收取手續費的支援服務,再次提醒您,所有Yahoo的資安常見問題與服務資訊在此網頁:https://tw.help.yahoo.com 都可找到。