Yahoo hat Daten von einer Milliarde Nutzern verloren

Log-in Nutzername Passwort (Bild: Shutterstock)

Angreifern sind offenbar bereits im August 2013 Daten von über einer Milliarde Nutzerkonten in die Hände gefallen. Wie sie das bewerkstelligt haben, weiß Yahoo bis heute nicht. Erst im Herbst war bekannt geworden, dass 2014 rund 500 Millionen Nutzerkonten kompromittiert worden waren.

Langsam trägt Yahoo! das Ausrufungszeichen zu Recht im Namen. Nachdem im September eingeräumt wurde, dass Hacker bereits 2014 “Daten mit Bezug zu mindestens 500 Millionen Nutzerkonten” gestohlen hatten, legt das Webunternehmen jetzt noch einmal eins drauf: Neuesten Erkenntnissen zufolge sind in einem “wahrscheinlich anderen Fall” im August 2013 Daten von über einer Milliarde Nutzerkonten Unbefugten in die Hände gefallen. Wie ihnen das gelungen ist, weiß Yahoo aber bis heute nicht.

Yahoo arbeitet eigenen Angaben zufolge in dem neuen Fall eng mit den Behörden zusammen. Die hatten das Unternehmen im November auch erst auf die Spur gebracht, nachdem sich dort Personen gemeldet hatten die behaupteten, im Besitz von Nutzerdaten von Yahoo zu sein.

Yahoo (Bild: Yahoo)

Wie Yahoo mitteilt, sollen potenziell betroffene Nutzer direkt benachrichtigt werden. Außerdem seien Schritte eingeleitet worden, um die Sicherheit der Konten zu erhöhen oder wieder herzustellen. Beispielsweise werden deren Nutzer gezwungen, ein neues Passwort auszuwählen. Außerdem seien unverschlüsselte Sicherheitsabfragen und die Antworten darauf ungültig gemacht worden.

Da seit dem offenbar erfolgreichen Angriff aber bereits über drei Jahre vergangen sind, dürften die Hacker die damals erbeuteten Daten bereits vielfach verwendet, verkauft, weitergegeben oder anderweitig genutzt haben. Die Aufforderung von Yahoo an die Nutzer, ihre Konten im Auge zu behalten, das Passwort bei Yahoo und anderen Diensten, wo sie eventuell dasselbe Passwort verwendet haben zu ändern, und dort gegebenenfalls auch eine neue Sicherheitsabfrage zu wählen, ist zwar grundsätzlich richtig, kommt aber eben Jahre zu spät. Abgesehen davon, sollten Passwörter ohnehin nie mehrfach verwendet werden.

Laut Yahoo sind bei dem erfolgreichen Angriff im August 2013 bei Betroffenen unter Umständen Name, E-Mail-Adresse, Telefonnummer und Geburtsdaten abhanden gekommen. Die den Angreifern in die Hände gefallenen Passwörter seien alle mit MD5 gehashed. Sicherheitsfragen und die Antworten darauf seien aber sowohl verschlüsselt als auch unverschlüsselt gewesen.

Bislang war der im Herbst bekannt gewordene Yahoo-Hack der größte öffentlich gewordene Datendiebstahl in der Geschichte des Internets.Jetzt hat sich Yahoo noch einmal "selbst übertroffen" (Grafik: Statista>)
Bislang war der im Herbst bekannt gewordene Yahoo-Hack der größte öffentlich gewordene Datendiebstahl in der Geschichte des Internets.Jetzt hat sich Yahoo noch einmal “selbst übertroffen” (Grafik: Statista)

Im September hatte Yahoo zugegeben, dass im Jahr 2014 Hacker den Dienst kompromittiert haben. Damals wurden Daten von mindestens 500 Millionen Nutzerkonten gestohlen. Das Unternehmen vermutet, dass die Täter “Unterstützung von staatlicher Seite” hatten.

Welches Land hinter diesem Angriff stehen könnte, hatte Yahoo jedoch nicht mitgeteilt. Da die Zuordnung von Angriffen immer ausgesprochen schwierig ist, haben Experten auch schon den Verdacht geäußert, dabei könne es sich auch um eine Art Schutzbehauptung handeln: Ein übermächtiger, feindseliger Staat als Gegner käme schließlich gerade recht, um das eigene Versagen zu kaschieren.

Update 15. Dezember 10 Uhr 06: Die Grafik wurde aktualisiert und listet nun die beiden großen Hacks bei Yahoo als die umfangreichsten, bekannt gewordenen Datenverluste von Web-Firmen bislang überhaupt auf.