Een hacker, die zichzelf 'Peace' noemt, biedt 200 miljoen gebruikersgegevens van Yahoo-accounts aan. Hoe legitiem de claim is, is moeilijk te zeggen. Eerder bood dezelfde hacker dumps aan van LinkedIn en MySpace.
Yahoo zegt in een reactie op Motherboard bekend te zijn met de claim, maar dat het de echtheid of de legitimiteit van de data niet kan bevestigen of ontkrachten. Wel zegt het de claim van de hacker 'zeer serieus' te nemen.
De hacker heeft tegen Motherboard gezegd dat hij de data al een tijdje onder het voetlicht verkocht, maar nu besloot die openbaar te koop aan te bieden. De lijst met volgens Peace 'vermoedelijk data uit 2012' is verkrijgbaar voor 3 bitcoin, ongeveer 1650 euro.
Op dit moment heeft Yahoo nog geen datalek uit 2012 bevestigd en voordat de data vrijgegeven worden voor verificatie, is niet te zeggen of het gaat om data die herverpakt zijn van andere grote datalekken. De data die aangeboden worden, bestaan uit gebruikersnamen, met md5 gehashte wachtwoorden, geboortedata en in sommige gevallen backup-e-mailadressen.
Peace zegt tegen Motherboard dat het voor hem 'beter is als Yahoo niet gaat voor een wachtwoordreset'. Motherboard verkreeg 5000 gegevens voordat de data te koop aan werden geboden en kon daaruit opmaken dat een deel van de gebruikersnamen lijkt te corresponderen met bestaande accounts, al testte het maar 'twee dozijn' namen door de e-mailadressen simpelweg in het inlogveld van Yahoo in te vullen en te kijken of naar de volgende stap gegaan kon worden. Aan de andere kant kreeg Motherboard bij pogingen contact te krijgen met 100 e-mailadressen vaak terug dat de e-mail onbestelbaar was.
Update 7.40 uur: Het lijkt erop dat Yahoo gebruikers nu wel aanraad een nieuw wachtwoord in te stellen. Of dit is ingesteld na het bekend worden van een mogelijk lek uit 2012 of dat het willekeurig aangeboden wordt, is niet duidelijk.