Yahoo verliert bei weiterem Hack Daten von eine Milliarde Nutzerkonten

Erst im September hatte Yahoo eingeräumt, dass Kriminellle bereits 2014 „Daten mit Bezug zu mindestens 500 Millionen Nutzerkonten“ entwendet hatten. Neuesten Erkenntnissen zufolge sind in einem „wahrscheinlich anderen Fall“ schon im August 2013 Unbefugte an Daten von über einer Milliarde Nutzerkonten gelangt. Yahoo weiß bis heute aber nicht, wie ihnen das gelungen ist. Potenziell betroffene Nutzer sollen direkt benachrichtigt werden, wie das Unternehmen mitteilt. Es seien zudem Maßnahmen eingeleitet worden, um die Sicherheit der Konten zu verbessern oder wieder herzustellen. So müssen deren Nutzer zum Beispiel ein neues Passwort vergeben. Unverschlüsselte Sicherheitsabfragen und die Antworten darauf seinen außerdem ungültig gemacht worden.

Das Unternehmen kooperiert eigenen Aussagen zufolge im aktuellen Fall eng mit den Behörden. Nachdem sich bei ihnen Personen gemeldet hatten, die behaupteten, im Besitz von Nutzerdaten von Yahoo zu sein, hatten die Behörden Yahoo im November erst auf die Spur gebracht.

Hacker dürften die damals erbeuteten Daten schon vielfach verwendet, verkauft, weitergegeben oder anderweitig genutzt haben, nachdem seit dem offenbar erfolgreichen Angriff inzwischen mehr als drei Jahre vergangen sind. Die Aufforderung des Unternehmens an die User, das Passwort bei Yahoo und anderen Diensten, wo sie eventuell dasselbe Passwort verwendet haben zu ändern, und dort gegebenenfalls auch eine neue Sicherheitsabfrage zu wählen und ihre Konten im Auge zu behalten, ist prinzipiell richtig, kommt aber Jahre zu spät. Einmal ganz davon abgesehen, dass Passwörter grundsätzlich nie mehrfach verwendet werden sollten.

Bei dem Angriff im August 2013 sind Yahoo zufolge bei betroffenen Nutzern unter Umständen Name, E-Mail-Adresse, Telefonnummer und Geburtsdaten entwendet worden. Die den Angreifern in die Hände gefallenen Passwörter seien alle mit MD5 gehashed. Sicherheitsfragen und die Antworten darauf seien aber sowohl verschlüsselt als auch unverschlüsselt gewesen.

Bislang war der im Herbst bekannt gewordene Yahoo-Hack der größte öffentlich gewordene Datendiebstahl in der Geschichte des Internets.Jetzt hat sich Yahoo noch einmal „selbst übertroffen“ (Grafik: Statista

Dass Hacker den Dienst 2014 kompromittiert hatten, hat Yahoo im September diesen Jahres zugegeben. Die Hacker hatten 2014 Daten von mindestens 500 Millionen Nutzerkonten gestohlen. Das Unternehmen vermutet, dass die Täter „Unterstützung von staatlicher Seite“ hatten, hat aber nicht mitgeteilt, welches Land hinter dem Angriff stecken könnte.

Da die Zuordnung von Angriffen immer ausgesprochen schwierig ist, haben Experten auch schon den Verdacht geäußert, dass es sich dabei auch um eine Art Schutzbehauptung handeln könne: Ein übermächtiger, feindseliger Staat als Gegner käme schließlich gerade recht, um das eigene Versagen zu kaschieren.

[Mit Material von Peter Marwan, silicon.de]

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago