We wrześniu 2016 roku Yahoo ujawniło włamanie, które naraziło na szwank 500 milionów kont użytkowników. W grudniu firma ujawniła kolejne włamanie, tym razem dotykające rekordowego 1 miliarda kont. We wtorek Yahoo zaktualizowało tę liczbę do wszystkich 3 miliardów kont swoich usług.

I tak, to obejmuje twoje.

Hack odsłonił nazwiska, adresy e-mail, numery telefonów, daty urodzenia, zaszyfrowane hasła i niezaszyfrowane pytania bezpieczeństwa. Oto co możesz teraz zrobić, aby się chronić.

Zaloguj się na swoje konto Yahoo

To może wydawać się oczywiste, ale jeśli jesteś jak wielu ludzi, możesz nie używać Poczty Yahoo jako głównego konta e-mail. Yahoo ma 1 miliard aktywnych użytkowników miesięcznie na swoich usługach ogólnie i tylko 225 milionów aktywnych użytkowników miesięcznie dla swojej usługi Yahoo Mail, według danych firma dała CNET w czerwcu.

Więc sprawdź e-mail powiązany z kontem Yahoo, jeśli jeszcze nie. Yahoo zaczęło wysyłać powiadomienia do użytkowników, i powinieneś otrzymać jedno na to konto, jeśli zostałeś dotknięty przez naruszenie danych.

Zmień swoje hasło

Jeśli nie zmieniłeś swojego hasła w ciągu kilku lat, zrób to — teraz. Firma twierdzi, że hasła, które ukradli hakerzy, były zaszyfrowane — zakodowane za pomocą narzędzia o nazwie bcrypt. Ten rodzaj szyfrowania może być potencjalnie złamany z wystarczającą wytrwałością, powiedział Brett McDowell, dyrektor wykonawczy FIDO Alliance, grupy non-profit, która weryfikuje systemy logowania.

To jest szczególnie prawdziwe, „gdy atakujący może dokonać stosunkowo dokładnych domysłów na temat tego, co hasło może być,” McDowell powiedział. Użytkownicy Yahoo z relatywnie słabymi lub oczywistymi hasłami powinni podjąć zalecane środki ostrożności.”

Spoglądam na ciebie, „passw0rd.”

Zadaj sobie pytanie: „Czy użyłem tego hasła gdzie indziej?”

To częsty nawyk. Używaj tego samego hasła do wielu różnych kont. Jeśli to naruszenie ma cię czegokolwiek nauczyć, to tego, że jest to fatalny pomysł.

Jeśli przetworzyłeś swoje hasło Yahoo na innym koncie, zmień hasło również na tym koncie. Hakerzy, którzy mają twoje hasło, mogliby łatwo wypróbować je na całej masie różnych witryn — pomyśl o witrynach bankowych lub witrynach ubezpieczeń zdrowotnych — aby spróbować uzyskać dostęp do informacji poza twoim kontem Yahoo.

Nie pozwól im na to.

Zmień swoje pytania bezpieczeństwa i odpowiedzi — wszędzie

Ponieważ włamanie ujawniło pytania bezpieczeństwa, które nie były zaszyfrowane, zmień je. Jeśli używałeś tych samych pytań bezpieczeństwa do innych witryn lub usług, zmień je również. A jeśli nie jesteś pewien, zmień je tak czy inaczej.

Jest to ból głowy, ale zrobienie tego może zaoszczędzić Ci ogromnych niedogodności w przyszłości. Pytania bezpieczeństwa są często używane do weryfikacji tożsamości i uzyskania dostępu do konta, bez pomocy weryfikacji e-mailowej.

Niektórzy eksperci od bezpieczeństwa posuwają się aż do zalecania tworzenia losowych, unikalnych odpowiedzi na pytania bezpieczeństwa, takie jak „Gdzie urodziła się twoja matka?”, ponieważ często informacje te są łatwe do odkrycia. To wysokie wymagania dla większości normalnych ludzi, więc zamiast tego…

Włącz weryfikację dwuetapową

Jeśli planujesz zachować swoje konto Yahoo, włącz weryfikację dwuetapową. Jest to jedna z najlepszych form zabezpieczenia konta dostępna w serwisach takich jak Yahoo. Weryfikacja dwuetapowa oznacza, że po zalogowaniu się przy użyciu hasła (jak zwykle) Yahoo wyśle ci SMS-em kod bezpieczeństwa, który wprowadzisz w następnym kroku.

W ten sposób tylko osoba, która ma osobisty dostęp do twojego telefonu (ty), może uzyskać dostęp do twojego konta — nawet jeśli wprowadzone hasło było poprawne.

As with changing your security questions on all services, take the time to enable two-step verification on other websites, like Facebook, Google, Twitter and so on.

Zastanów się dwa razy przed usunięciem kont

Tak, to kuszące chcieć umyć ręce i zerwać więzi z Yahoo po tak rażącym naruszeniu. Ale robienie tego może faktycznie otworzyć się na dodatkowe bóle głowy związane z bezpieczeństwem. Dzieje się tak dlatego, że usunięcie konta pozwala Yahoo na recykling starego adresu e-mail – co pozwala komuś spamować każdą witrynę, którą może znaleźć, prośbami o „zapomnienie hasła” i/lub w inny sposób podszywać się pod użytkownika przy użyciu znanego (choć nieaktualnego) pseudonimu.

Lepiej pozostawić konto nieaktywne — ale z włączoną weryfikacją dwuetapową.

Originally published Sept. 23, 2017.

Update, Oct. 3 at 7:58 p.m. PT: Adds context on account deletion.

Update, Oct. 3 o 14:10 PT: Dodaje nowe informacje na temat włamania do Yahoo.

iHate: CNET patrzy na to, jak nietolerancja przejmuje Internet.

It’s Complicated: To jest randka w erze aplikacji. Dobrze się bawisz?