Yahoo奇摩安全通知 2016 年 9 月 22 日

根據最近的調查,我們已確定網路中的特定使用者帳號資訊曾於 2014 年底遭竊,而且我們認為這次的入侵行動可能是由某國家資助的駭客所為。帳號資訊可能包括姓名、電子信箱地址、電話號碼、出生日期、雜湊處理過的密碼 (絕大多數使用 bcrypt),在某些情況下,還包括加密或未加密的密碼提示問題和解答。進行中的調查指出,遭竊資訊不包括未受保護的密碼、付款卡片資料或銀行帳戶資訊;調查發現遭入侵的系統中,並未存放付款卡片資料和銀行帳戶資訊。

以下常見問題提供此問題的詳細資料,以及有助於使用者保護個人帳號的因應措施。

發生什麼事?

Yahoo奇摩最近的一項調查證實,我們網路中的特定使用者帳號資訊曾在 2014 年底遭竊,而且我們認為這次的入侵行動可能是由某國家資助的駭客所為。我們正與執法機關密切合作,並通知可能受影響的使用者如何進一步保護帳號。

我的帳號是否受到影響?

我們正透過電子信件通知可能受影響的使用者,並在我們的網站上發佈其他詳細資訊。此外,我們也要求可能受影響的使用者立即變更密碼,並採用其他帳號驗證方式。

由國家資助的駭客是否仍潛藏於 Yahoo奇摩的網路中?

進行中的調查並未發現足以證明由國家資助的駭客仍潛藏於 Yahoo奇摩網路中的證據。

哪些資訊遭竊?

遭竊的使用者帳號資訊可能包括姓名、電子信箱地址、電話號碼、出生日期、雜湊處理過的密碼 (絕大多數使用 bcrypt),在某些情況下,還包括加密或未加密的密碼提示問題和解答。進行中的調查指出,遭竊資訊不包括未受保護的密碼、付款卡片資料或銀行帳戶資訊;調查發現遭入侵的系統中,並未存放付款卡片資料和銀行帳戶資訊。

什麼是「雜湊處理過的密碼」?

雜湊處理是一種單向數學函數,可將原始資料字串轉換為看似隨機的字元字串,因次雜湊處理過的密碼無法轉換為原本純文字格式的密碼。

什麼是「bcrypt」?

Bcrypt 是一種密碼雜湊處理機制,結合添加隨機鹽值 (salting) 和多輪運算等安全功能,提供抵禦密碼破解的進階保護。

我收到一封說明此問題的電子信件,要如何確定這是由 Yahoo奇摩所寄送?

如要查看我們向受影響使用者發出的通知內容,請點選此處。請注意,不管您是在 Yahoo奇摩網站或 Yahoo奇摩信箱應用程式中查看,Yahoo奇摩針對此問題所寄送的電子信件中會顯示 Yahoo奇摩 紫Y圖標 圖示。重要的是,電子信件不會要求您點選任何連結,信中也不會有任何附件,更不會要求您提供個人資訊。如果您收到與此問題相關的電子信件,而信中內容提示您點選連結、下載附件或要求您提供資訊,該信件並非來自 Yahoo奇摩,其目的可能是要試圖竊取您的個人資訊。切勿在這類可疑的電子信件中點選連結或下載附件。

Yahoo奇摩採取哪些措施來保護我的帳號?

我們採取的使用者保護措施包括:

  • 通知受影響的使用者。
  • 要求受影響的使用者立即變更密碼,並採用其他帳號驗證方式。
  • 讓未加密的密碼提示問題和解答失效,使其無法用來存取帳號。
  • 建議所有從 2014 年至今未曾變更密碼的使用者更改密碼。
  • 繼續強化我們的系統,使其能有效偵測及防止未獲授權的使用者帳號存取行為。
  • 此事件的調查工作仍在進行中。

如何變更我的密碼或密碼提示問題和解答?

您可以點選此處,變更您的 Yahoo奇摩密碼或密碼提示問題和解答。

我能如何保護自己?

我們建議所有使用者遵循以下安全建議:

  • 如果您有其他帳號使用與您 Yahoo 帳戶帳號相同或類似的憑證,請變更該帳號的密碼以及密碼提示問題和解答。
  • 檢查帳號是否出現可疑活動。
  • 留意任何不請自來的通訊內容,這些通訊內容會請您提供個人資訊,或邀您前往某個網頁提供個人資訊。
  • 避免點選可疑電子信件中的連結或下載其附件。

此外,您也可以考慮改用兩步驟驗證,這種簡單的驗證工具更為安全,除了您原本的密碼之外,還會要求您輸入驗證碼。

我可以額外採取哪些措施來保護個人資訊?

雖然受影響的帳號資訊不包括未受保護的密碼、付款卡片資料或銀行帳戶資訊,我們還是建議您檢閱帳號報表並監控您的信用報告,小心為上。以下提供三家消費者報告機構的聯絡資訊,您可以向他們申請信用報告。

EquifaxEquifax Credit Information Services, Inc.
P.O.Box 740241
Atlanta, GA 30374		1-800-525-6285www.equifax.com
ExperianExperian Inc.
P.O.Box 9554
Allen, TX 75013		1-888-397-3742www.experian.com
TransUnionTransUnion LLC
P.O.Box 2000
Chester, PA 19022-2000		1-800-680-7289www.transunion.com

您也可以考慮為信用檔案申請「安全性凍結」(也稱為「信用凍結」)。安全性凍結可以防止債權人在未經您同意的情形下存取您在消費者報告機構的信用檔案。申請、解除及/或移除安全性凍結時可能需要收取費用,一般來說,每次操作的價格約為 5 至 20 美元不等。與詐騙通知不同的是,您必須為您在各個消費者報告機構的信用檔案加入安全性凍結。。有關安全性凍結的詳細資訊,請聯絡上述三家全國消費者報告機構或 FTC。由於每個州建立安全性凍結的方式不同,請聯絡該三家消費者報告機構,以取得進一步的資訊。

在實際處理您的要求之前,消費者報告機構可能會請您提供適當的身分識別資料。例如,您可能會需要提供:

  • 全名及中間名的首位字母和世代稱謂 (例如 Jr.、Sr.、II、III)
  • 社會安全號碼
  • 出生日期
  • 過去五年的居住地址
  • 政府核發的身分證件清晰副本 (例如州駕駛執照或軍人身分證)
  • 當前居住地址證明 (例如當前的水電費帳單或銀行帳戶對帳單)

您有權利取得報案證明,並依上述方式申請安全性凍結。消費者報告機構可能會向您收取最高 10 美元的帳戶安全性凍結費用,並且可能會在處理您的安全性凍結申請前,要求您提供特定的個人資訊 (例如姓名、社會安全碼、出生日期和地址) 和適當的身分識別資料 (例如政府核發的身分證副本以及帳單或對帳單)。然而,如果您是身分資料遭竊的受害者,而且向消費者報告機構提供有效的報案證明,則可免費申請、解除或移除安全性凍結。

美國居民可聯絡 FTC,深入了解如何保護個人資訊。FTC 的聯絡資訊如下:
 
聯邦貿易委員會
消費者回應中心
600 Pennsylvania Avenue, NW
Washington, DC 20580
1-877-IDTHEFT (438-4338)
 
羅德島居民可以向羅德島總檢察長辦公室 (Rhode Island Office of the Attorney General) 洽詢,了解如何保護個人資訊:
 
羅德島總檢察長辦公室
消費者保護處
150 South Main Street
Providence, RI 02903
(401)-274-4400

Tumblr 帳號是否受到影響?

否。資料遭竊的系統在竊案發生當下並未存放任何 Tumblr 使用者資料。

如何尋求帳號方面的協助?

如果您需要更多與帳號相關的資訊或協助,請前往 https://help.yahoo.com 參閱最新資訊,您也可以在該網頁直接取得客戶支援服務。若有自稱 Yahoo奇摩支援部門的人員透過免付費電話號碼與您聯絡,聲稱您有網路付款方面的問題,請立即掛斷,這是詐騙電話。請注意:Yahoo奇摩的所有平台都會透過 https://help.yahoo.com 提供支援服務。