Điều tra ban đầu, Yahoo cho rằng thủ phạm đánh cắp thông tin trong mạng lưới của công ty từ năm 2014 là "một đội ngũ do nhà nước bảo trợ", nằm bên ngoài Mỹ. Hãng dịch vụ Internet cho biết một số dữ liệu người dùng đã bị sử dụng, nhưng không ước tính có bao nhiều thành viên thật sự bị ảnh hưởng.
Vụ tấn công Yahoo lần này được xem là đợt đánh cắp thông tin lớn nhất nhằm vào một doanh nghiệp Mỹ. Các dữ liệu mà hacker lấy được có thể bao gồm họ tên, địa chỉ email, số điện thoại, ngày sinh, câu hỏi và câu trả lời bí mật. Yahoo cho rằng thông tin thẻ tín dụng, tài khoản ngân hàng hay các mật khẩu không mã hóa vẫn được bảo vệ bởi nó được lưu trên một hệ thống khác.
Tháng 8/2016, một tin tặc có biệt danh "Peace" đã đăng tải hơn 200 triệu tài khoản người dùng Yahoo! lên một Dark Web (trang web có thể truy cập công khai nhưng ẩn địa chỉ IP máy chủ chứa trang web đó) có tên The Real Deal. Dữ liệu bị rò rỉ bao gồm tên người dùng, mật khẩu được mã hóa MD5 và ngày sinh đang được bán với giá 3 Bitcoins, tương đương 1.838 USD.
Yahoo nói đã thực hiện một số biện pháp an ninh nhằm bảo vệ dữ liệu của người dùng. Tuy nhiên, công ty Internet vẫn khuyến cáo thành viên cần đổi mật khẩu ngay lập tức, đặc biệt với những người chưa làm điều đó từ năm 2014.