米Yahooは12月14日(現地時間)、10億人を超えるユーザーのアカウントに関する個人情報が2013年8月に盗まれていたと発表した。同社は今年9月に、サイバー攻撃としては過去最大規模となる5億人分以上のユーザー情報の流出を公表していたが、それとは「異なる事件である可能性が高い」としている。

Yahooユーザーの情報と思われるデータファイルが存在するという捜査機関からの情報提供を受けて、Yahooは今年11月から当該データの分析を進めていた。その結果、10億人以上のアカウントに関する情報が2013年8月に第3者によって盗まれていたことが判明した。これまでの調査で、攻撃者がシステムに侵入した証拠は見つかっていないという。「Yahoo Security Notice December 14, 2016」によると、攻撃者はプロプリエタリなYahoo!のコードにアクセスすることで知り得た情報からCookieをねつ造した可能性があるという。

流出した情報は、名前、メールアドレス、電話番号、生年月日、ハッシュ化(MD5)された状態のパスワード、一部の本人確認用の質問・回答など。暗号化されていない状態のパスワード、支払いカードや銀行口座の情報は含まれていない。Yahooは情報が流出した可能性があるユーザーに連絡して、パスワードや本人確認用の質問・回答を変更するように呼びかけている。