Riesiger Hacker-Angriff auf Yahoo
Internetkonzern räumt Datendiebstahl bei über einer Milliarde Nutzerkonten ein
Als Yahoo im September eingestand, dass 2014 die Daten von mindestens 500 Millionen Nutzern gestohlen wurden, war das ein trauriger Rekord. Jetzt zeigt sich, dass schon ein Jahr vorher Daten aus doppelt so vielen Nutzerkonten betroffen waren.
Sunnyvale. Beim Internet-Konzern Yahoo ist ein weiterer gigantischer Datendiebstahl bekanntgeworden. Diesmal geht es sogar um Informationen zu mehr als einer Milliarde Nutzerkonten. Dabei seien die Angreifer im August 2013 voraussichtlich an Namen, E-MailAdressen, Telefonnummern, Geburtstage und unkenntlich gemachte Passwörter gekommen, teilte Yahoo mit. Gemessen an der Zahl betroffener Nutzerkonten ist es der bislang größte bekanntgewordene Datenklau überhaupt.
In einigen Fällen könnten auch verschlüsselte und unverschlüsselte Sicherheits-Fragen und -Antworten betroffen gewesen sein, hieß es. Solche Fragen, etwa nach dem Namen des ersten Haustiers oder der Lieblingsfarbe, kommen zum Einsatz, wenn ein Nutzer sein Passwort vergisst. Unter Umständen können sie für Kriminelle also genauso viel wert sein wie das Passwort selbst. Außerdem bestehe die Gefahr, dass Nutzer auch bei anderen Diensten die gleichen Kombinationen aus Fragen und Antworten ausgewählt haben.
Bereits im September hatte Yahoo einen Datendiebstahl eingeräumt, bei dem Ende 2014 mindestens 500 Millionen Nutzerprofile betroffen gewesen seien. Es ging um dieselbe Art von Daten. Nach derzeitigem Kenntnisstand seien keine Passwörter im Klartext oder Kreditkarten- und BankkontoInformationen entwendet worden. Die Bezahldaten würden in einem anderen System aufbewahrt.
Es scheint sich der Verdacht zu bestätigen, dass sich die Angreifer dauerhaften Zugang zu Daten einzelner Nutzer verschafft haben könnten. Sie hätten sich Zugang zum YahooSoftwarecode verschafft, mit dem sie sogenannte Cookies fälschen konnten, teilte Yahoo mit. Das sind kleine SoftwareElemente, die im Webbrowser abgelegt werden und zum Beispiel dafür sorgen können, dass Nutzer auf ihr E-Mail-Fach zugreifen können, ohne jedes Mal erneut ein Passwort eingeben zu müssen.
Der Konzern vermutet, dass die Attacken von den selben Angreifern wie 2014 ausgingen und von einem Staat in Auftrag gegeben wurden. Der Angriff fiel Yahoo nicht selbst auf. Sicherheitsbehörden unterrichteten das Unternehmen darüber, dass sie an Daten gekommen seien, die angeblich von Yahoo stammten. Das bestätigte sich bei einer Überprüfung. Neues Passwort dringend nötig Yahoo-Nutzer brauchen nun neue Passwörter und Sicherheitsfragen, erklärt der Sicherheitschef des Konzerns Bob Lord. Smartphone-Nutzer sollten außerdem Yahoos Identifizierungstechnik „AccountSchlüssel“verwenden. Damit ist eine Anmeldung nur möglich, nachdem sie auf dem Telefon bestätigt wurde. Wer das Passwort für das Yahoo-Konto auch für andere Konten nutzt, sollte es dort ebenfalls ändern, rät Lord. Für viele Yahoo-Nutzer stellt sich nun zugleich die Frage, mit welchem neuen Passwort sie ihr Konto schützen können. Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) besteht ein sicheres Passwort aus mindestens zwölf Zeichen, darunter Groß- und Kleinbuchstaben, Zahlen und Satzzeichen. Nach Möglichkeit kommt das Passwort nicht in Wörterbüchern vor und lässt sich nicht mithilfe persönlicher Informationen erraten.
Informationen darüber, ob persönliche Zugangsdaten eventuell gestohlen und im Netz angeboten wurden, geben zwei kostenlose Onlinedienste: der Identity Leak Checker des Hasso-Plattner-Instituts an der Universität Potsdam und der BSI-Sicherheitstest.
Im Internet: sec.hpi.de/leak-checker/ search www.sicherheitstest.bsi.de