Yahoo thông báo với một số người sử dụng rằng tin tặc có thể đăng nhập vào tài khoản của họ, sử dụng giả "cookie" giả mạo cho phép truy cập ngay cả khi không có mật khẩu.

Theo CNET,  tin cuộc tấn công ban đầu được công bố vào tháng 9/2016, nhưng phần lớn bị bỏ qua cho đến nay khi tiết lộ này có trong một thông báo lớn hơn về vụ vi phạm an ninh mạng Yahoo được coi là lớn nhất trong lịch sử.

Yahoo cho biết họ đã liên hệ một số cuộc tấn công dựa trên cookie với cùng một thủ phạm được cho là chịu trách nhiệm cho một trong các vụ lấy cắp thông tin khác.

Chưa rõ lý do vì sao đến nay một số người dùng mới nhận được các thông báo tài khoản của họ có thể bị tấn công, vài tháng sau khi Yahoo tiết lộ lần đầu tiên về các cuộc tấn công cookie.

Các cookie được sử dụng để lưu trữ thông tin cá nhân trong trình duyệt, nhờ đó người dùng không phải nhập thông tin người dùng của mình một lần nữa.

Hồi tháng 9/2016, Yahoo cho biết trong tuyên bố rằng "một bên thứ ba đã truy cập trái phép mã sở hữu của công ty để tìm hiểu cách thức giả mạo các tập tin cookie."

Phát ngôn viên của Yahoo đã gửi báo cáo sau đây tới trang Business Insider để phản ứng lại thông tin trên:

"Như chúng tôi đã tiết lộ trước đây, các chuyên gia an ninh bên ngoài đã điều tra việc tạo ra các cookie giả mạo có thể cho phép một kẻ xâm nhập truy cập vào tài khoản của người dùng mà không cần mật khẩu.

Cuộc điều tra đã xác định tài khoản người dùng mà chúng tôi tin rằng cookie giả mạo đã được thực hiện hay sử dụng. Trong quá trình Yahoo thông báo cho các chủ tài khoản có khả năng bị gặp sự cố. Yahoo đã vô hiệu hóa các cookie giả mạo để chúng không thể được sử dụng một lần nữa"./.