Nutzer warnen vor Sicherheitsrisiken durch wiederverwendete Yahoo-IDs

Yahoo-Nutzer, denen der Internetkonzern einen inaktiven Usernamen zugeteilt hat, erhalten offenbar an die früheren Eigentümer der Yahoo-ID gerichtete E-Mails. Das berichtet InformationWeek. Betroffene finden demnach nicht nur Spam-Nachrichten des ehemaligen Besitzers in ihrem Posteingang, sondern auch E-Mails, die persönliche Daten enthalten.

Dazu zählen Kontodaten, Bestätigungen für Termine und Flüge sowie Ankündigungen für Veranstaltungen. InformationWeek vermutet, dass den früheren Besitzern nicht klar ist, dass sie keinen Zugriff mehr auf ihr Konto haben, und deswegen ihre alte E-Mail-Adresse weiterhin benutzen.

Ein Anwender, ein IT-Sicherheitsexperte namens Tom Jenkins, beschreibt, dass die Daten ausreichend sind für einen Identitätsdiebstahl. Er könne beispielsweise auf das Pandora- und Facebook-Konto des Vorbesitzers seiner neuen Yahoo-ID zugreifen. „Ich kenne seinen Namen, seine Adresse, seine Telefonnummer. Ich weiß, wo sein Kind zur Schule geht. Ich kenne die letzten vier Stellen seiner Sozialversicherungsnummer. Ich weiß, dass er in der vergangenen Woche einen Augenarzttermin hatte und gerade zur Hochzeit eines Freunds eingeladen wurde“, sagte Jenkins.

Yahoo betonte gegenüber InformationWeek, dass es die Sicherheit und den Schutz der Privatsphäre seiner Nutzer sehr ernst nehme. Es habe bisher nur Beschwerden von sehr wenigen Nutzern erhalten, die über Dritte für den früheren Kontoinhaber bestimmte E-Mails erhalten hätten. Yahoo fordere die für den Versand der E-Mails verantortlichen Firmen auf, die betroffen Konten anhand einer datumsbezogenen Kennzeichnung zu überprüfen.

Im Juli hatte Yahoo angekündigt, seit mindestens einem Jahr inaktive Nutzernamen neu zu vergeben. Es versprach auch, dass Besitzer einer neu vergebenen ID in keinem Fall Zugang zu persönlichen Informationen des Vorbesitzers erhielten. Dafür führte Yahoo die datumsbezogene Kennzeichnung ein. Sie sollte sicherstellen, dass eine Website wie Facebook beispielsweise nicht versehentlich die neu vergebene E-Mail-ID mit dem Konto des alten Besitzers verknüpft. Dylan Casey, Yahoos Senior Director für Consumer-Plattformen, erklärte im Juli gegenüber CNET, das Verfahren sei „narrensicher“.

Casey zufolge waren alle für die Wiederverwendungen vorgesehen Yahoo-IDs inaktiv und nur sehr wenige hätten überhaupt noch E-Mails erhalten. Yahoo könne aber selbst nur verhindern, dass Nutzer wieder auf ihre alten Konten zugriffen. Um auszuschließen, dass neue Nutzer Nachrichten erhielten, die an den ehemaligen Eigentümer gerichtet seien, sei man auf Dritte – sprich die Absender dieser Nachrichten – angewiesen.

Google vergibt unter anderem aus diesem Grund, und weil sich Mailadressen für das Rücksetzen von Passwörtern auf anderen Sites nutzen lassen, Nutzernamen grundsätzlich nicht neu. Yahoo behauptete im Juli aber, seine Datenschutzmaßnahmen verhinderten jeden Missbrauch: Geht eine Rücksetz-Anfrage ein, werden die Registrierungsdaten bei der fremden Site und bei Yahoo korreliert.

[mit Material von Donna Tam, News.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de