Yahoo verliert bei weiterem Hack Daten von eine Milliarde Nutzerkonten

Erst im September hatte Yahoo eingeräumt, dass Kriminellle bereits 2014 „Daten mit Bezug zu mindestens 500 Millionen Nutzerkonten“ entwendet hatten. Neuesten Erkenntnissen zufolge sind in einem „wahrscheinlich anderen Fall“ schon im August 2013 Unbefugte an Daten von über einer Milliarde Nutzerkonten gelangt. Yahoo weiß bis heute aber nicht, wie ihnen das gelungen ist. Potenziell betroffene Nutzer sollen direkt benachrichtigt werden, wie das Unternehmen mitteilt. Es seien zudem Maßnahmen eingeleitet worden, um die Sicherheit der Konten zu verbessern oder wieder herzustellen. So müssen deren Nutzer zum Beispiel ein neues Passwort vergeben. Unverschlüsselte Sicherheitsabfragen und die Antworten darauf seinen außerdem ungültig gemacht worden.

Das Unternehmen kooperiert eigenen Aussagen zufolge im aktuellen Fall eng mit den Behörden. Nachdem sich bei ihnen Personen gemeldet hatten, die behaupteten, im Besitz von Nutzerdaten von Yahoo zu sein, hatten die Behörden Yahoo im November erst auf die Spur gebracht.

Hacker dürften die damals erbeuteten Daten schon vielfach verwendet, verkauft, weitergegeben oder anderweitig genutzt haben, nachdem seit dem offenbar erfolgreichen Angriff inzwischen mehr als drei Jahre vergangen sind. Die Aufforderung des Unternehmens an die User, das Passwort bei Yahoo und anderen Diensten, wo sie eventuell dasselbe Passwort verwendet haben zu ändern, und dort gegebenenfalls auch eine neue Sicherheitsabfrage zu wählen und ihre Konten im Auge zu behalten, ist prinzipiell richtig, kommt aber Jahre zu spät. Einmal ganz davon abgesehen, dass Passwörter grundsätzlich nie mehrfach verwendet werden sollten.

Bei dem Angriff im August 2013 sind Yahoo zufolge bei betroffenen Nutzern unter Umständen Name, E-Mail-Adresse, Telefonnummer und Geburtsdaten entwendet worden. Die den Angreifern in die Hände gefallenen Passwörter seien alle mit MD5 gehashed. Sicherheitsfragen und die Antworten darauf seien aber sowohl verschlüsselt als auch unverschlüsselt gewesen.

Bislang war der im Herbst bekannt gewordene Yahoo-Hack der größte öffentlich gewordene Datendiebstahl in der Geschichte des Internets.Jetzt hat sich Yahoo noch einmal „selbst übertroffen“ (Grafik: Statista

Dass Hacker den Dienst 2014 kompromittiert hatten, hat Yahoo im September diesen Jahres zugegeben. Die Hacker hatten 2014 Daten von mindestens 500 Millionen Nutzerkonten gestohlen. Das Unternehmen vermutet, dass die Täter „Unterstützung von staatlicher Seite“ hatten, hat aber nicht mitgeteilt, welches Land hinter dem Angriff stecken könnte.

Da die Zuordnung von Angriffen immer ausgesprochen schwierig ist, haben Experten auch schon den Verdacht geäußert, dass es sich dabei auch um eine Art Schutzbehauptung handeln könne: Ein übermächtiger, feindseliger Staat als Gegner käme schließlich gerade recht, um das eigene Versagen zu kaschieren.

[Mit Material von Peter Marwan, silicon.de]

Anja Schmoll-Trautmann

Anja Schmoll-Trautmann berichtet über aktuelle Entwicklungen im Bereich Consumer Electronics, Mobile und Peripherie. Sie arbeitet mit Windows in allen Varianten, OS X, iOS und Android.

Recent Posts

Datenschutz & LinkedIn

Von über 830 Millionen Mitgliedern weltweit verwaltet das kalifornische Online-Karriereportal LinkedIn inzwischen Daten und Kontakte.…

2 Tagen ago

Matter: Neuer Standard für Smart Home

Die Connectivity Standards Alliance (CSA) will Matter zum neuen Konnektivitätsstandard für Smart Homes machen.

2 Tagen ago

Unverschlüsselte Geräte sind gefährlich

Unverschlüsselte Geräte sind ein Einfallstor für Hacker. Es ist schwierig, den Überblick über sämtliche Endpoints…

2 Tagen ago

Altanwendungen eine Chance geben

Altanwendungen besitzen keinen guten Ruf, obwohl sie viele Jahre treu und zuverlässig funktioniert haben. Es…

3 Tagen ago

Angriffe auf Computerspiele verdoppelt

Spielehersteller und Gamer-Accounts sind durch den Anstieg der Angriffe auf Webanwendungen nach der Pandemie gefährdet.…

3 Tagen ago

Backup-Kosten sparen

Datensicherung ist unabdingbar, kann aber ins Geld gehen. André Schindler, General Manager EMEA bei NinjaOne…

3 Tagen ago