V napadu iz leta 2013 so hekerji pridobili podatke o uporabniških imenih, telefonskih številkah, rojstnih datumov, šifrirana gesla (z zastarelim algoritmom MD5!) in varnostna vprašanja za ponastavitev gesla. Bančni podatki niso bili na istih strežnikih in so ostali varni. Yahoo se je to pot odločil, da vse prizadete uporabnike prisili v zamenjavo v gesla in ponastavitev varnostnih vprašanj. Vodja informacijske varnosti v Yahooju Bob Lord je dejal, da še niso ugotovili, kako so hekerji vdrli v sistem. Za vdor so izvedeli iz podatkov, ki so jim jih posredovali organi pregona. Ti so pri neimenovani tretji stranki odkrili podatke, za katere so upravičeno domnevali, da so iz Yahooja, kar je Yahoo s forenzično analizo tudi potrdil.
Vse skupaj kaže, da Lord svojo nalogo opravlja izjemno slabo. Nekateri Yahoojevi zaposleni so za napad iz leta 2014 vedeli že istega leta, pa ga je Yahoo uradno odkril in nas o njem obvestil šele letos. Za napad iz leta 2013 pa Yahoo očitno sploh ni vedel, dokler mu tega niso povedali organi pregona. Že ob razkritju napada iz leta 2014 si je Verizon začel premišljevati glede prevzema, najmanj kar pričakujemo, pa je znižanje prevzemne cene. Ob zadnjih razkritjih pa ni nemogoče, da prevzem tudi v celoti odpovedo.
