วันศุกร์, กันยายน 23, 2559

ใครมี YAHOO Account โปรดทราบ... Yahoo says 500 million accounts stolen

Yahoo says 500 million accounts stolen

by Seth Fiegerman @sfiegerman
September 22, 2016: 5:41 PM ET

CNN Money

Yahoo (YHOO, Tech30) confirmed on Thursday data "associated with at least 500 million user accounts" have been stolen in what may be one of the largest cybersecurity breaches ever.

The company said it believes a "state-sponsored actor" was behind the data breach, meaning an individual acting on behalf of a government. The breach is said to have occurred in late 2014.

"The account information may have included names, email addresses, telephone numbers, dates of birth, hashed passwords (the vast majority with bcrypt) and, in some cases, encrypted or unencrypted security questions and answers," Yahoo said in a statement.

Yahoo urges users to change their password and security questions and to review their accounts for suspicious activity.

The silver lining for users -- if there is one -- is that sensitive financial data like bank account numbers and credit card data are not believed to be included in the stolen information, according to Yahoo.

Yahoo is working with law enforcement to learn more about the breach.

"The FBI is aware of the intrusion and investigating the matter," an FBI spokesperson said. "We take these types of breaches very seriously and will determine how this occurred and who is responsible. We will continue to work with the private sector and share information so they can safeguard their systems against the actions of persistent cyber criminals."

A large-scale data breach was first rumored in August when a hacker who goes by the name of "Peace" claimed to be selling data from 200 million Yahoo users online. The same hacker has previously claimed to sell stolen accounts from LinkedIn (LNKD, Tech30) and MySpace.

Yahoo originally said it was "aware of a claim" and was investigating the situation. Nearly two months later, it turns out the situation is even worse.

"This is massive," said cybersecurity expert Per Thorsheim on the scale of the hack. "It will cause ripples online for years to come." 

Re/code first reported Yahoo would confirm the data breach.

The data breach comes at a sensitive time for Yahoo.

Verizon (VZ, Tech30) agreed to buy Yahoo's core properties for $4.83 billion in late July, just days before the hack was first reported. The deal is expected to close in the first quarter of 2017.

Verizon says it only learned of the breach this week.

"Within the last two days, we were notified of Yahoo's security incident," a spokesperson for Verizon said in a statement provided to CNNMoney.

We understand Yahoo is conducting an active investigation of this matter, but we otherwise have limited information and understanding of the impact."

The mega-breach could create a headache for both companies, including damaging press, scrutiny from regulators and a user exodus, just as they're working to close the deal and figure out the future of Yahoo.

-- Sara Ashley O'Brien contributed to this report.


ยาฮู ยืนยัน ข้อมูลส่วนบุคคลของลูกค้าหลุดรั่วอย่างน้อย 500 ล้านบัญชีในปี 2014 (2557) โดยเชื่อว่าเป็นการเจาะระบบที่สนับสนุนโดยรัฐบาลประเทศใดประเทศหนึ่ง

ข้อมูลที่หลุดออกไปนั้น มีทั้งชื่อ ที่อยู่อีเมล หมายเลขโทรศัพท์ วันเดือนปีเกิด แฮชของรหัสผ่าน (ไม่ใช่ตัวรหัสผ่านจริงๆ) และในบางกรณียังรวมถึงคำถามและคำตอบยืนยันตัวตน (security question) เพื่อปลดล็อกบัญชี

ผู้บริหารสูงสุดด้านความมั่นคงปลอดภัยของข้อมูล (chief information security officer) ของยาฮู เขียนบล็อกระบุว่า รหัสผ่าน ข้อมูลบัตรเครดิตและข้อมูลบัญชีธนาคาร ไม่ได้อยู่ในส่วนที่ได้รับผลกระทบ และปัจจุบันตรวจไม่พบหลักฐานว่ายังมีกิจกรรมเจาะระบบที่สนับสนุนโดยรัฐหลงเหลืออยู่ในระบบเครือข่ายของยาฮู


- เปลี่ยนรหัสผ่าน และคำถามยืนยันตัวตน ในบัญชีของยาฮู และบัญชีของผู้ให้บริการอื่นทั้งหมด ในกรณีที่มีการใช้ข้อมูลชุดเดียวกัน

- ตรวจสอบกิจกรรมของบัญชีต่างๆ ว่ามีสิ่งปกติหรือไม่ (เช่น มีการล็อกอินจากที่ที่เราไม่เคยไป)

- ระมัดระวัง เมื่อมีการติดต่อมาเพื่อสอบถามข้อมูลส่วนบุคคลของเรา หรือให้เราคลิกลิงก์ไปยังหน้าเว็บที่ให้เรากรอกข้อมูลส่วนบุคคล

- หลีกเลี่ยงการคลิกลิงก์หรือดาวน์โหลดไฟล์แนบจากอีเมลน่าสงสัย

- สำหรับผู้ใช้บัญชียาฮู ให้พิจารณาใช้ Yahoo Account Key เพื่อล็อกอินเข้าบัญชีผ่านโทรศัพท์มือถือ (กรอกชื่อผู้ใช้ในคอม แล้วระบบจะส่งการแจ้งเตือนไปยังโทรศัพท์ของเรา เพื่อให้เรากดยืนยันที่โทรศัพท์ จากนั้นระบบจะล็อกอินในคอมให้เรา) -- ดูคลิปวิธีการใช้งานที่ https://help.yahoo.com/kb/SLN25781.html

ที่มา: บล็อกอย่างเป็นทางการของยาฮู https://yahoo.tumblr.com/post/150781911849/an-important-message-about-yahoo-user-security


สำหรับผู้ใช้ทั่วไป การยืนยันตัวตนสองชั้น หรือ "2-factor authentication" เป็นสิ่งพื้นฐานที่ควรจะใช้กับทุกบัญชีถ้าสามารถทำได้ ผู้ให้บริการอย่าง Facebook, Twitter, Google, Microsoft ต่างรองรับการล็อกอินด้วยการยืนยันตัวตนสองชั้นทั้งสิ้น

การยืนยันตัวตนสองชั้นจะช่วยให้บัญชีของเรายังปลอดภัย แม้รหัสผ่านจะถูกล่วงรู้โดยคนอื่นก็ตาม เพราะยังมีการยืนยันอีกชั้น (ด้วยอุปกรณ์ที่อยู่กับตัวเรา) ป้องกันเอาไว้

อย่างไรก็ตาม ในกรณีการหลุดรั่วของข้อมูล แม้บัญชีของเราอาจจะยังปลอดภัย แต่ข้อมูลส่วนตัวอื่นๆ ของเราก็อาจจะถูกนำไปใช้ปลอมตัวตนของเราหรือถูกใช้ในเรื่องอื่นๆ โดยที่เราไม่ได้ยินยอม

#security #databreach #privacy

Thai Netizen Network