Nutzer verklagt Yahoo wegen des Verlusts von Anmeldedaten

Ein Mann aus New Hampshire hat Yahoo verklagt. Jeff Allan wirft dem Unternehmen vor, durch Fahrlässigkeit den Diebstahl von 450.000 gestohlenen Anmeldedaten ermöglicht zu haben. Mit seiner im kalifornischen San José eingereichten Klage strebt er den Status einer Sammelklage an und verlangt Schadenersatz für sich sowie alle anderen Betroffenen.

Allan führt an, dass nicht nur sein Yahoo-Passwort gestohlen wurde, sondern auch fremde Zugriffe auf sein Ebay-Konto erfolgten, bei dem er die gleichen Anmeldedaten benutzte. Um sich vor möglichem Identitätsdiebstahl zu schützen, nutze er zudem Überwachungsdienste von Experian zum Preis von 14,95 Dollar monatlich. Zu seinen persönlichen Informationen auf der Website Yahoo Contributor Network gehörten laut Allan Name, E-Mail-Adresse, Geburtsdatum, Staatsbürgerschaft, Anschrift, Telefonnummer, die E-Mail-Adresse für Paypal sowie seine Sozialversicherungsnummer.

Eine Hackergruppe namens „D33Ds Company“ hatte im Juli über 450.000 gestohlene Benutzernamen und Passwörter veröffentlicht. Sie stammten vom Yahoo Contributor Network, den Nutzern als Yahoo Voices bekannt. Die Hacker erklärten dazu, sich mittels SQL Injection Zugang zu den Daten verschafft zu haben. Das war peinlich für den Webkonzern, da diese Angriffsart meist bei schlecht gesicherten Web-Applikationen erfolgreich ist, die unzureichend untersuchen, welcher Text in Such- und Formularfelder eingegeben wird.

„Die SQL-Injection-Methode, die gegen Yahoo eingesetzt wurde, ist seit über einem Jahrzehnt bekannt“, heißt es in der Klageschrift. „Sie ist bereits für massive Datendiebstähle gegen Heartland Payment Systems und andere zum Einsatz gekommen.“ Schon 2003 habe die US-Handelsaufsicht FTC solche SQL-Injection-Angriffe als bekannte und vorhersehbare Ereignisse benannt, denen routinemäßig durch entsprechende Sicherheitsmaßnahmen zu begegnen sei.

„Yahoo hat versäumt, den Datenserver mit diesen Informationen vor SQL-Injection-Attacken zu sichern, die in der Datenbank enthaltenen persönlichen Daten zu verschlüsseln sowie seine Netze zu überwachen, um verdächtige Mengen ausgehender Daten zu erkennen“, behauptet der Kläger. Der Webkonzern habe damit seine Sorgfaltspflicht verletzt und es versäumt, die persönlichen Informationen seiner Nutzer zu schützen.

[mit Material von Elinor Mills, News.com]

ZDNet.de Redaktion

Recent Posts

CopyRhadamantys greift weltweit Unternehmen an

Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.

15 Stunden ago

Facebook Marketplace: EU verhängt Geldbuße von fast 800 Millionen Euro gegen Meta

Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…

18 Stunden ago

Umfrage: Angestellte in Deutschland unterschätzen NIS-2-Richtlinie

Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…

1 Tag ago

Kostenloser Dekryptor für ShrinkLocker

Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.

2 Tagen ago

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…

2 Tagen ago

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

2 Tagen ago