米Yahoo!はネットワーク侵入により45万人超のユーザー情報が流出したことを認めたと、複数の米メディア(Wall Street Journal、New York Times、InfoWorld、Forbesなど)が現地時間2012年7月12日に報じた。
Yahoo!広報担当者は電子メールによる声明で、ニュース投稿ポータル「Yahoo! Voices」の「Contributor Network」(旧称は「Associated Content」)から古いファイルが7月11日に盗まれたことを確認したと明らかにした。ファイルには約40万件のYahoo!および他社のユーザー名とパスワードが含まれるという。同社は「現在、脆弱性の修復に当たっており、影響を受けたユーザーのパスワード変更を実施し、不正アクセスを受けた可能性のある企業に通知している」と述べた。また、「流出したパスワードのうち現在も有効なものは5%未満」としている。
Yahoo!がデータ侵害を認める前、「D33Ds」と名乗るハッカー集団がYahoo!から盗んだとするデータを自身のWebサイトで公開した。SQLインジェクションの手口を使ってソフトウエアの脆弱性を悪用し、Yahoo!のシステムに侵入したと主張している。D33Dsは「このサブドメインのセキュリティ管理担当者はこれを脅迫ではなく警鐘として受けとめてほしい」とのコメントを付け加え、「これ以上損害が広がらないため」として問題のサブドメインと脆弱なパラメーターは公開しなかった。
ハッカー集団が掲載したデータは45万3492人分のユーザー名とパスワードで、Yahoo!だけでなく、米Googleの「Gmail」、米Microsoftの「Hotmail」「MSN」「Live.com」、さらに米AOL、米Verizon、米Comcastなどのアカウントも含まれている。セキュリティ会社の米Rapid7によると、Gmailアカウントが約10万6000件、Hotmailアカウントが約5万5000件、AOLアカウントが約2万5000件確認された。
米メディアはいずれも、Yahoo!パスワードはもちろんのこと、他社サービスのパスワードも変更するよう強く勧めている。
