Ein Mann aus New Hampshire hat Yahoo verklagt. Jeff Allan wirft dem Unternehmen vor, durch Fahrlässigkeit den Diebstahl von 450.000 gestohlenen Anmeldedaten ermöglicht zu haben. Mit seiner im kalifornischen San José eingereichten Klage strebt er den Status einer Sammelklage an und verlangt Schadenersatz für sich sowie alle anderen Betroffenen.
Allan führt an, dass nicht nur sein Yahoo-Passwort gestohlen wurde, sondern auch fremde Zugriffe auf sein Ebay-Konto erfolgten, bei dem er die gleichen Anmeldedaten benutzte. Um sich vor möglichem Identitätsdiebstahl zu schützen, nutze er zudem Überwachungsdienste von Experian zum Preis von 14,95 Dollar monatlich. Zu seinen persönlichen Informationen auf der Website Yahoo Contributor Network gehörten laut Allan Name, E-Mail-Adresse, Geburtsdatum, Staatsbürgerschaft, Anschrift, Telefonnummer, die E-Mail-Adresse für Paypal sowie seine Sozialversicherungsnummer.
Eine Hackergruppe namens „D33Ds Company“ hatte im Juli über 450.000 gestohlene Benutzernamen und Passwörter veröffentlicht. Sie stammten vom Yahoo Contributor Network, den Nutzern als Yahoo Voices bekannt. Die Hacker erklärten dazu, sich mittels SQL Injection Zugang zu den Daten verschafft zu haben. Das war peinlich für den Webkonzern, da diese Angriffsart meist bei schlecht gesicherten Web-Applikationen erfolgreich ist, die unzureichend untersuchen, welcher Text in Such- und Formularfelder eingegeben wird.
„Die SQL-Injection-Methode, die gegen Yahoo eingesetzt wurde, ist seit über einem Jahrzehnt bekannt“, heißt es in der Klageschrift. „Sie ist bereits für massive Datendiebstähle gegen Heartland Payment Systems und andere zum Einsatz gekommen.“ Schon 2003 habe die US-Handelsaufsicht FTC solche SQL-Injection-Angriffe als bekannte und vorhersehbare Ereignisse benannt, denen routinemäßig durch entsprechende Sicherheitsmaßnahmen zu begegnen sei.
„Yahoo hat versäumt, den Datenserver mit diesen Informationen vor SQL-Injection-Attacken zu sichern, die in der Datenbank enthaltenen persönlichen Daten zu verschlüsseln sowie seine Netze zu überwachen, um verdächtige Mengen ausgehender Daten zu erkennen“, behauptet der Kläger. Der Webkonzern habe damit seine Sorgfaltspflicht verletzt und es versäumt, die persönlichen Informationen seiner Nutzer zu schützen.
[mit Material von Elinor Mills, News.com]
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…
