Für eine Milliarde Yahoo-Nutzer sind es wieder spannende Tage: Der Internet-Pionier, bei dem man sich schon länger fragt, wie genau er eigentlich noch am Markt bestehen kann, hat einen erneuten Massenhack zugegeben. Eine Milliarde Nutzerkonten sollen dabei abgegriffen worden sein – Namen, E-Mail-Adressen, Passwort-Hashes und sogar die Sicherheitsfragen samt Antworten sind in die Hände der Angreifer gefallen. Dass einige der Sicherheitsfragen offenbar gänzlich unverschlüsselt gespeichert waren, setzt dem Versagen von Yahoos Sicherheitssystem die traurige Krone auf.
Hacker-Angriffe sind doch an der Tagesordnung!
Für die Netzwelt und die Nutzer des Dienstes erinnert die Nachricht stark an den September, als Yahoo bereits einen Massenhack eingestehen musste. Damals wurde bekannt, dass eine halbe Milliarde Nutzerdaten abgegriffen wurden. Im Vergleich zu heute wirkt diese Zahl ja lächerlich, aber trotzdem sprechen wir auch hier von immerhin 500.000.000 Nutzerkonten, die Kriminellen in die Hände gefallen sind.
Wirklich problematisch ist aber nicht einmal unbedingt der Hack selbst. Spielen wir einmal den Devil’s Advocate, den Anwalt des Teufels: Gut, viele Unternehmen werden Opfer von Kriminellen, Hackerangriffe sind im Netz an der Tagesordnung. Natürlich gehen dabei auch sensible Informationen zu Nutzerkonten verloren, aber solange diese verschlüsselt sind (und im besten Fall nicht zugeordnet werden können), ist doch alles halb so wild. Jeder Nutzer, der klar denken kann, wird sowieso seine Passwörter in regelmäßigen Abständen ändern, um das Risiko selbst zu minimieren!
Zu wenig, zu spät
Nun ist es aber so, dass Yahoo die Daten ja teilweise nicht verschlüsselt hat. Das verwendete Hash-Verfahren MD5 gilt in Sicherheitskreisen als längst geknackt. Die Sicherheitsfragen waren teilweise völlig unverschlüsselt. All das sollte die Nutzer dazu bewegen, das Sicherheitssystem des Unternehmens, dem sie ihre Daten anvertrauen, gehörig zu hinterfragen. Der Internet-Pionier, das Urgestein, scheint nicht auf dem aktuellsten Stand zu sein.
Das Nutzervertrauen geht aber vollends verloren, wenn man sich die Ahnungslosigkeit und Kommunikationsstrategie von Yahoo genauer ansieht: Der Hack, über den das Unternehmen im September informiert hat, fand vor zwei Jahren – im August 2014 – statt. Und der Angriff, der jetzt bekannt wurde, sogar noch davor. Und Yahoo wusste offenbar von nichts: Dass der Hack stattgefunden hat, darüber informierte eine Polizeibehörde das Unternehmen, indem es einfach die Dateien mit den Nutzerdaten übergab. Wer da nicht das Vertrauen in Yahoo verliert und sich schleunigst nach einem neuen Provider umsieht, der wird sich auch in der Badewanne die Haare föhnen.
Kommentar schreiben