Ein Mann aus New Hampshire hat Yahoo verklagt. Jeff Allan wirft dem Unternehmen vor, durch Fahrlässigkeit den Diebstahl von 450.000 gestohlenen Anmeldedaten ermöglicht zu haben. Mit seiner im kalifornischen San José eingereichten Klage strebt er den Status einer Sammelklage an und verlangt Schadenersatz für sich sowie alle anderen Betroffenen.
Allan führt an, dass nicht nur sein Yahoo-Passwort gestohlen wurde, sondern auch fremde Zugriffe auf sein Ebay-Konto erfolgten, bei dem er die gleichen Anmeldedaten benutzte. Um sich vor möglichem Identitätsdiebstahl zu schützen, nutze er zudem Überwachungsdienste von Experian zum Preis von 14,95 Dollar monatlich. Zu seinen persönlichen Informationen auf der Website Yahoo Contributor Network gehörten laut Allan Name, E-Mail-Adresse, Geburtsdatum, Staatsbürgerschaft, Anschrift, Telefonnummer, die E-Mail-Adresse für Paypal sowie seine Sozialversicherungsnummer.
Eine Hackergruppe namens „D33Ds Company“ hatte im Juli über 450.000 gestohlene Benutzernamen und Passwörter veröffentlicht. Sie stammten vom Yahoo Contributor Network, den Nutzern als Yahoo Voices bekannt. Die Hacker erklärten dazu, sich mittels SQL Injection Zugang zu den Daten verschafft zu haben. Das war peinlich für den Webkonzern, da diese Angriffsart meist bei schlecht gesicherten Web-Applikationen erfolgreich ist, die unzureichend untersuchen, welcher Text in Such- und Formularfelder eingegeben wird.
„Die SQL-Injection-Methode, die gegen Yahoo eingesetzt wurde, ist seit über einem Jahrzehnt bekannt“, heißt es in der Klageschrift. „Sie ist bereits für massive Datendiebstähle gegen Heartland Payment Systems und andere zum Einsatz gekommen.“ Schon 2003 habe die US-Handelsaufsicht FTC solche SQL-Injection-Angriffe als bekannte und vorhersehbare Ereignisse benannt, denen routinemäßig durch entsprechende Sicherheitsmaßnahmen zu begegnen sei.
„Yahoo hat versäumt, den Datenserver mit diesen Informationen vor SQL-Injection-Attacken zu sichern, die in der Datenbank enthaltenen persönlichen Daten zu verschlüsseln sowie seine Netze zu überwachen, um verdächtige Mengen ausgehender Daten zu erkennen“, behauptet der Kläger. Der Webkonzern habe damit seine Sorgfaltspflicht verletzt und es versäumt, die persönlichen Informationen seiner Nutzer zu schützen.
[mit Material von Elinor Mills, News.com]
Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.
Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…
Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…
Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.
In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…
Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.