Em novembro de 2016, as autoridades policiais forneceram ao Yahoo arquivos de dados que um terceiro alegou serem dados de usuários do Yahoo. Analisamos esses dados com a ajuda de especialistas forenses externos e constatamos que parecem ser dados de usuários do Yahoo. Com base em uma análise mais aprofundada desses dados pelos especialistas forenses, acreditamos que um terceiro não autorizado, em agosto de 2013, roubou dados associados a mais de um bilhão de contas de usuários. O Yahoo não conseguiu identificar a invasão associada a este roubo. Acreditamos que este incidente provavelmente é diferente do incidente que divulgamos em 22 de setembro de 2016. Estamos notificando os usuários potencialmente afetados e tomamos medidas para proteger suas contas, inclusive solicitando que os usuários alterem suas senhas. O Yahoo também invalidou as perguntas e respostas de segurança não criptografadas para que elas não possam ser usadas para acessar uma conta.

Separadamente, nossos especialistas forenses externos têm investigado a criação de cookies forjados que podem permitir que um intruso acesse as contas dos usuários sem uma senha. Com base na investigação em andamento, os especialistas forenses externos identificaram contas de usuários para as quais acreditam que cookies forjados foram obtidos ou usados em 2015 ou 2016. A empresa está notificando os titulares das contas afetadas e invalidou os cookies forjados. Atribuímos algumas dessas atividades ao mesmo agente patrocinado pelo estado ,que se acreditamos ser o responsável pelo roubo de dados que divulgamos em 22 de setembro de 2016.

Estamos notificando os usuários potencialmente afetados e publicando informações adicionais em nosso site. Além disso, estamos tomando medidas para proteger as contas dos usuários, inclusive solicitando que alterem suas senhas. O Yahoo também invalidou as perguntas e respostas de segurança não criptografadas para que elas não possam ser usadas para acessar uma conta.

Com base na investigação em andamento, os especialistas forenses externos identificaram contas de usuários para as quais acreditam que cookies forjados foram obtidos ou usados em 2015 ou 2016. A empresa está notificando os titulares das contas afetadas e invalidou os cookies forjados.

Para contas potencialmente afetadas, as informações roubadas da conta do usuário podem incluir nomes, endereços de e-mail, números de telefone, datas de nascimento, senhas com hash (usando MD5) e, em alguns casos, perguntas e respostas de segurança criptografadas ou não criptografadas. A investigação indica que as informações roubadas não incluíam senhas em texto não criptografado, dados de cartões de pagamento ou informações de contas bancárias. Os dados do cartão de pagamento e as informações da conta bancária não são armazenados no sistema que a empresa acredita ter sido afetado.

Hashing é uma função matemática unidirecional que converte uma sequência de dados original em uma sequência aparentemente aleatória de caracteres. Assim, as senhas com hash não podem ser revertidas para a senha original em texto sem formatação. Na época do incidente de agosto de 2013, usamos MD5 para hash de senhas. Começamos a atualizar nossa proteção de senha para bcrypt no verão de 2013. O Bcrypt é um mecanismo de senha em hash que incorpora recursos de segurança, incluindo salting e várias rodadas de computação, para fornecer proteção avançada contra cracking de senhas.

Cookies forjados podem permitir que um intruso acesse as contas dos usuários sem uma senha. Com base em uma investigação em andamento do Yahoo, acreditamos que um terceiro não autorizado acessou nosso código proprietário para aprender como forjar cookies. Os especialistas forenses externos identificaram as contas de usuários, para as quais acreditam, que os cookies forjados foram obtidos ou usados. A empresa está notificando os titulares das contas afetadas e invalidou os cookies forjados.

Um cookie é um pequeno pedaço de informação armazenado em um computador com a finalidade de identificar um navegador da web durante a interação em sites. Os sites usam cookies para lembrar e reconhecer detalhes sobre os visitantes, como preferências do site. Clique aqui para obter mais informações sobre as práticas do Yahoo em relação a cookies e tecnologias semelhantes.

Acreditamos que o incidente de agosto de 2013 provavelmente seja diferente do incidente que divulgamos em 22 de setembro de 2016.

Atribuímos algumas dessas atividades de falsificação de cookies ao mesmo agente patrocinado pelo estado ,que se acreditamos ser o responsável pelo roubo de dados que divulgamos em 22 de setembro de 2016. Os usuários visados pelo agente patrocinado pelo estado receberam uma notificação adicional como esta encontrada aqui.

Clique aqui para visualizar o conteúdo de nosso aviso aos usuários afetados. Observe que os e-mails do Yahoo sobre este problema exibirão o Yahoo ícone quando visualizado no site do Yahoo ou no aplicativo do Yahoo Mail. É importante ressaltar que os e-mails não solicitam que você clique em nenhum link nem contém anexos e não solicita suas informações pessoais. Se um e-mail que você recebeu sobre esses problemas solicitar que você clique em qualquer link, baixe um anexo ou solicite informações, o e-mail não foi enviado pelo Yahoo e pode ser uma tentativa de roubar suas informações pessoais. Evite clicar em links ou fazer download de anexos de e-mails suspeitos.

Adotamos medidas para proteger nossos usuários, incluindo:

• Estamos solicitando que os usuários potencialmente afetados alterem suas senhas.
• Invalidamos perguntas e respostas de segurança não criptografadas para que elas não possam ser usadas para acessar uma conta.
• Invalidamos os cookies forjados e fortalecemos nossos sistemas para protegê-los contra ataques semelhantes.
• Aprimoramos continuamente nossas proteções e sistemas que detectam e impedem o acesso não autorizado a contas de usuários.

Você pode alterar sua senha do Yahoo ou perguntas e respostas de segurança ao clicar aqui. Solicitamos que os usuários potencialmente afetados alterem suas senhas e invalidamos as perguntas e respostas de segurança não criptografadas para que não possam ser usadas para acessar uma conta.

Também sugerimos a todos os usuários a seguir estas recomendações de segurança:

• Altere sua senha e perguntas e respostas de segurança para todas as outras contas nas quais você usa informações iguais ou semelhantes àquelas usadas para sua conta do Conta do Yahoo.
• Verifique todas as suas contas em busca de atividades suspeitas.
• Tenha cuidado com todas as comunicações não solicitadas que requerem informações pessoais ou o encaminhem para uma página Web que solicita suas informações pessoais.
• Evite clicar em links ou baixar de anexos de e-mails suspeitos.

Além disso, considere mudar para a verificação em duas etapas , uma ferramenta de autenticação simples que é mais segura e exigirá um código de verificação além da sua senha.

Embora as informações das contas afetadas não incluam senhas em texto não criptografado, dados de cartão de pagamento ou informações de contas bancárias, recomendamos que você permaneça vigilante, revisando os extratos bancários e monitorando seus relatórios de crédito. Abaixo estão as informações de contato das três agências nacionais de relatórios de consumidores das quais você pode obter um relatório de crédito.

Para se proteger de um possível roubo de identidade, considere colocar um alerta de fraude em seu arquivo de crédito. Você também pode fazer um "congelamento de segurança" (também conhecido como "congelamento de crédito") em seu registro de crédito. O congelamento de segurança tem como objetivo evitar que potenciais credores acessem seu registro de crédito nas agências de relatórios do consumidor sem o seu consentimento. Pode haver cobranças para fazer, retirar e/ou remover um congelamento de segurança, que geralmente variam de US$ 5 a US$ 20 por ação. Ao contrário de um alerta de fraude, você deve solicitar um congelamento de segurança em seu registro de crédito em cada agência de relatórios do consumidor, individualmente. Para obter mais informações sobre congelamentos de segurança, você pode entrar em contato com as três agências nacionais de relatórios do consumidor dos EUA ou com a FTC, conforme descrito acima. Como as instruções para estabelecer um congelamento de segurança diferem de estado para estado, entre em contato com as três agências de relatórios do consumidor para obter mais informações.

As agências de relatórios do consumidor podem exigir identificação adequada antes de realizar sua solicitação. Por exemplo, elas podem solicitar que você forneça:

• Seu nome completo com a inicial do meio e o complemento (como Jr., Sr., II, III)
• Seu SSN
• Sua data de nascimento
• Endereços onde você morou nos últimos cinco anos
• Uma cópia legível de um cartão de identificação emitido pelo governo (como carteira de habilitação estadual ou carteira de identidade militar)
• Prova do seu endereço residencial atual (como uma conta de serviço público atual ou extrato de conta corrente)

Você tem o direito de obter um boletim de ocorrência e solicitar um congelamento de segurança como descrito acima. As agências de relatórios do consumidor podem cobrar uma taxa de até US$ 10 para realizar o congelamento de segurança de sua conta e podem exigir que você forneça determinadas informações pessoais (como seu nome, número de identidade ou SSN, data de nascimento e endereço) e identificação adequada (como uma cópia de um documento de identidade emitido pelo governo e uma conta ou extrato) antes de realizar sua solicitação de congelamento de segurança. No entanto, não há cobranças para fazer, retirar ou remover um congelamento de segurança se você tiver sido vítima de roubo de identidade e fornecer às agências de relatórios do consumidor um boletim de ocorrência válido.

Não. Os sistemas dos quais os dados foram roubados em agosto de 2013 não continham dados de usuários do Tumblr, no momento do roubo. Além disso, o Yahoo não tem nenhuma indicação de que os cookies forjados foram usados para acessar contas do Tumblr.

Se precisar de mais informações ou assistência com sua conta, acesse br.ajuda.yahoo.com, onde você encontrará as informações mais recentes e poderá acessar o suporte direto ao cliente. NÃO SE ENVOLVA com nenhum serviço de suporte que não seja o fornecido por Yahoo, especialmente provedores de serviços de suporte que cobram uma taxa por seus serviços. O Yahoo não cobra pelo serviço de suporte para suas contas. Observe que todos os canais do Yahoo oferecem suporte através do br.ajuda.yahoo.com.