Yahoo! Inc. ha confirmado el robo de cuentas de usuario de sus servidores a fines de 2014 al parecer por una agencia gubernamental, sin especificar cuál.
La información robada es relacionada con al menos 500 millones de cuentas de usuarios e incluye nombres de cuentas de usuario, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, contraseñas hash (la gran mayoría con bcrypt) y, en algunos casos, las preguntas de seguridad codificada o sin codificar y sus respuestas. La información robada no incluye contraseñas no protegidas, datos de tarjetas de pago, o información de cuentas bancarias. Los datos de tarjetas de pago y cuentas de banco no son almacenados en el sistema vulnerado.
Yahoo no ha encontrado pruebas que le lleven a la identificación de quien ha robado la información de los usuarios y se encuentra trabajando estrechamente con las autoridades en esta materia.
Los usuarios de Yahoo están siendo notificados para que tomen las medidas para asegurar sus cuentas, entre ellas el cambiar la contraseña -en particular los usuarios que no lo han hecho desde 2014- y adoptar medios alternativos de verificación de cuenta. Yahoo ha invalidado las preguntas y respuestas de seguridad no cifradas para que no puedan ser utilizadas para acceder a una cuenta.