Erst im September hatte Yahoo einen Massenhack eingeräumt, bei dem eine halbe Milliarde Nutzerkonten betroffen waren. Nun muss das Unternehmen aber einen weiteren Massenhack bekannt geben: Dieses Mal sind eine Milliarde Nutzer betroffen.
Bildquelle: charnsitr / Shutterstock.com
Wie löchrig ist Yahoos Sicherheitssystem? Erst im September hatte das Unternehmen eingeräumt, dass es bereits im Jahr 2014 zu einem Massenhack gekommen war, bei dem eine halbe Milliarde Nutzerkonten betroffen waren. Schon das ist eine gewaltige Zahl, doch nun hat Yahoo einen weiteren erfolgreichen Großangriff auf seine Nutzerkonten zugegeben: Im August 2013 sollen demnach bereits eine Milliarde Nutzerdaten von Betrügern abgegriffen worden sein. Wie Heise Online berichtet, hatte kein bislang bekannter Hack „auch nur annähernd so viele Opfer“.
Die abgegriffenen Daten aus dem neuen Hack umfassen offenbar Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und Passwort-Hashes (MD5). Das Hash-Verfahren MD5 gilt dabei laut Heise „schon lange als geknackt“, bietet also vermutlich keine Sicherheit mehr. Noch schlimmer ist die Tatsache, dass auch verschlüsselte und teilweise offenbar sogar unverschlüsselte Sicherheitsfragen und die dazu passenden Antworten abgegriffen wurden.
Yahoo will jetzt potenziell betroffene Nutzer informieren und fordert sie zum Ändern ihres Passworts auf. Zudem hat das Unternehmen die Sicherheitsfragen, die unverschlüsselt gespeichert waren, ungültig gemacht. Auch Nutzer von Flickr sind betroffen, da ihre Konten zeitgleich Yahoo-Konten sind.
Yahoo ist ahnungslos
Aber wie sind die Kriminellen an die Nutzerdaten gelangt? Das scheint Yahoo gar nicht zu wissen. „Die Firma war nicht in der Lage, das in Verbindung mit diesem Diebstahl stehende Eindringen zu identifizieren“, zitiert Heise aus einer Mitteilung. „Yahoo glaubt, dass dieser Vorfall wahrscheinlich unabhängig von jenem Vorfall ist, der am 22. September veröffentlicht wurde.“ Der aktuelle Hack wurde auch nicht von Yahoo aufgedeckt, sondern von einer nicht näher benannten Polizei, die im November Dateien mit den Yahoo-Kontodaten überreicht habe.
Neben dem Massenhack kommt es aber auch immer wieder zu gezielten Angriffen auf einzelne Nutzer. Dabei fälschen die Angreifer offenbar Cookies, um sich Zugriff auf Nutzerkonten zu verschaffen. Wie viele Nutzer Opfer dieser Attacken sind, gibt Yahoo nicht bekannt. Inzwischen will das Unternehmen die gefälschten Cookies aber für ungültig erklärt haben – aber auch hier schweigt sich Yahoo darüber aus, wie genau man die Sicherheitslücke gestopft hat.
Kommentar schreiben