Der er efterhånden formentlig ikke mange Yahoo-brugere, hvis oplysninger ikke er faldet i de forkerte hænder.
IT-selskabet fortalte i september, at oplysninger på 500 millioner brugere var blevet lækket i et sikkerhedsbrud.
I dag har Yahoo imidlertid annonceret, at hele én milliard brugere er blevet kompromitteret i en anden, separat sikkerhedshændelse. En eller flere hackere har tilsyneladende også fundet ud af, hvordan man kan logge ind på en Yahoo-konto uden at kende kodeordet, advarer selskabet.
Det skriver sikkerhedsblogger Brian Krebs på KrebsOnSecurity.
Angrebet bag det nye giga-læk skulle være fundet sted i august 2013. De stjålne information kan ifølge Yahoo inkludere navn, mail-adresse, telefonnummer, fødselsdato, hashed kodeord (MD5) og - i nogle tilfælde - krypterede eller ukrypterede sikkerhedsspørgsmål og svar.
I en meddelelse fra Yahoos sikkerhedschef Bob Lord fremgår det, at hackere har fundet ud af, hvordan man kan 'forfalske' en autentifikations-cookie, som Yahoo sætter på brugerens computer, når han eller hun logger ind.
Læs også: Yahoo kendte til gigalæk tilbage i 2014
På den måde har hackere fået adgang til brugerkonti - uden at bruge et kodeord, oplyser Bob Lord, der sammen med resten af selskabet nu er i færd med at kontakte berørte brugere.
Yahoo har endnu ikke identificeret det egentlige sikkerhedsbrud, som har ledt til kæmpe-lækket. Men ifølge Bob Lord er dele af aktiviteten kædet sammen med de samme angiveligt stats-støttede aktører som stod bag det datatyveri, selskabet offentliggjorde i september.
Yahoo forventede tidligere på året at blive solgt til teleselskabet Verizon. Efter afsløringen i september bad Verizon om et milliard-nedslag i prisen på 4.8 milliarder dollars.