請2013年9月前的國際雅虎電郵用戶修改密碼

資料外泄通知

Yahoo奇摩用戶，您好：

謹以此信件通知您與您的 Yahoo奇摩帳號資訊相關的資料安全性問題。我們已經採取行動確保您的帳號安全，並與執法機關密切配合。

發生何事？

司法單位在 2016 年 11 月提供了 Yahoo奇摩一些資料檔案，其經第三方宣稱為 Yahoo奇摩用戶資料。藉由外部鑒識專家的協助，我們分析了這些資料並發現其顯示為 Yahoo奇摩用戶資料。根據鑒識專家對這些資料的深入分析，我們認為未授權的第三方在 2013 年 8 月竊取了與範圍更廣的使用者帳號相關的資料，包括您的資料。我們未能識別與這起竊案相關的入侵事件。我們認為這起事件很可能與我們在 2016 年 9 月 22 日揭露的事件是不同事件。

牽涉到哪些資訊？

受竊的使用者帳號資訊可能包含姓名、電子信箱地址、電話號碼、生日、雜湊處理過的密碼（使用 MD5 加密），並且在某些案例中包含加密或未加密的安全問題及答案。您的帳號不一定含有以上所有資料元素。調查顯示受竊的資訊不包含以文字清楚顯示的密碼、付款卡片資料或銀行帳戶資訊。付款卡片資料和銀行帳戶資訊並不是儲存在我們認為受到影響的系統中。

我們正在做什麼

我們正在採取行動保護使用者：

• 要求可能受影響的使用者變更密碼。
• 我們已撤銷未加密的安全問題和答案，讓有心人士無法利用這些問答來存取帳號。
• 我們會持續強化安全機制與系統以偵測並防止未經授權的用戶帳號存取行為。

您可以做什麼

我們鼓勵您遵循以下的安全建議：

• 對於您擁有的任何其他帳號，若其與您的 Yahoo奇摩帳號使用相同或類似資訊，請變更您的密碼、安全問題和答案。
• 請檢閱您所有的帳號以瞭解是否有任何可疑活動。
• 請注意是否有任何信件主動要求您提供個人資料，或要您前往某個網頁並提供個人資料。
• 避免在可疑的電子信件中點選連結或下載夾帶檔案。

此外，亦請您考慮使用 Yahoo奇摩帳號金鑰，這項簡易驗證工具可省卻您使用密碼登入各種 Yahoo奇摩服務的麻煩。

如需更多資訊

如需進一步瞭解此問題和我們的安全資源，請瀏覽 Yahoo奇摩帳號安全性問題常見問題集頁面，網址為：帳號安全議題常見問答 (2016年12月14日)。

保護您的資訊對我們而言非常重要，所以我們持續不懈地強化防護。

祝您一切順心。

Bob Lord

首席資訊安全長

Yahoo奇摩

我的雅虎電郵是以 @http://kimo.com 結尾的台灣雅虎奇摩電郵服務、而這個網域的電郵居然也在被竊資的對象範圍內。此外，2013 年八月也是雅虎的 @http://Yahoo.com.cn 電郵服務終止提供的時間。倒是這事情這麼久都沒發現、且還是被司法部門主動告知。

綜上所述，竊以為可能是當年的雅虎中國大陸分社有員工涉案。

無論如何，也還請所有 2013 年 9 月前的雅虎電郵用戶修改密碼、徹底停用安全問答。雅虎已經不提供「修改安全問答」的功能了，畢竟這種功能一旦泄密就會造成更離譜的危險（然而竊以為安全問答不用雜湊處理就明文存檔的行為更弱智更危險）。

# EOF.