Als hätte CEO Marissa Mayer nicht schon genug damit zu tun, die Braut Yahoo zum Verkauf an Verizon zu schmücken, muss sie jetzt auch noch Feuer an anderen Fronten löschen. Im September musste Yahoo bestätigten, dass zwei Monate zuvor einen Hackerangriff festgestellt wurde. Man begann jedoch eine Augenbraue hochzuziehen in Erstaunen, als die Information mitgeliefert wurde, dass das alles bereits 2014 passiert war. Der US-Senator Mark Warner will dazu auch noch eine Untersuchung einleiten, die feststellen soll, ob Yahoo eigentlich ihre gesetzliche Meldefrist von 4 Tagen für solche Fälle eingehalten hat.

Im Juli dieses Jahres sickert daher erstmals eine Meldung darüber an die Öffentlichkeit durch. Das Onlinemagazin Motherboard hatte damals festgestellt, dass ein Hacker namens Peace im Darknet etwas mehr als 200 Millionen Yahoo-Nutzerdaten zum Spotpreis von 2.000 US-Dollar angeboten hatte. Ob es sich dabei um dieselben Daten aus dem Diebstahl von 2014 handelte, konnte nicht mit Sicherheit gesagt werden.

Yahoo habe eine genauere Untersuchung eingeleitet, um dies zu klären, hieß es. Nach Angaben von Yahoo haben unbekannte Hacker seinerzeit rund 500 Millionen Kundeninformationen aus der Yahoo-Datenbank stehlen können. Yahoo CISO Bob Lord, sagte die Angreifer hätten „eine Kopie bestimmter“ Yahoo Kundeninformationen gestohlen. Unter Kundeninformationen sind Usernamen, E-Mail-Adressen, Telefonnummern, Geburtstage und auch verschlüsselte Passwörter sowie Sicherheitsfragen und -antworten zu verstehen. Auch die Frage an Yahoo, wen es hinter dem Datendiebstahl vermutet wurde beantwortet. Ohne irgendwelche Beweise liefern zu können, sprach das Unternehmen davon, dass es sich höchstwahrscheinlich um einen staatlich gesteuerten Angriff handelte. Yahoo hatte auch keine Einzelheiten nennen können, wie diese staatlichen Hacker das Yahoo-Netzwerk infiltriert haben. Experten mutmaßen, dass es über den guten alten Phishingangriff eingeleitet wurde. Vielleicht auf ein Account eines Yahoo-Mitarbeiters, mit entweder einem böswilligen Anhang oder einem Link. Yahoo musste auch schon deshalb endlich aktiv werden und mit Erklärungen an die Öffentlichkeit gehen, da viele Yahoo-Nutzer inzwischen schon Passwortänderungs-E-Mails oder Mitteilungen über verdächtige Aktivitäten erhalten hatten.

Ob nun Peace oder staatlich gesteuerte Hacker am Werk waren, kann noch immer nicht mit Bestimmtheit gesagt werden. Die Untersuchungen laufen dazu noch. Jeremiah Grossmann, leitender Angestellter bei SentinelOne sagte dazu, dass es sich seiner Ansicht nach nicht um chinesische Hacker handeln könne, denn typischerweise würden die Chinesen gestohlene Daten nicht im Untergrund verkaufen. Er geht von zwei verschiedenen Vorfällen aus. Einzelstaatliche Cyberspionage zielt normalerweise auf geopolitische und intellektuelle oder wirtschaftspolitische Informationen ab. Mit Yahoo-Kundendaten können Kriminelle eventuell an Yahoo-Internas rankommen. Hier nannte Grossmann als Beispiel die Verhandlungen zwischen Alibaba und Yahoo.

Andere Experten gehen davon aus, dass die gestohlenen Daten bereits ausgiebig verwertet wurden seit dem ursprünglichen Diebstahl und erst jetzt günstig im Untergrund verkauft werden. Kritische Stimmen sagen über die Beschuldigung von staatlich-gesteuerten Hackern, dass es die einfachste Freikarte für die Yahoo Geschäftsleitung sei es so darzulegen, um von eigenen Nachlässigkeiten abzulenken.

Apropos Nachlässigkeiten: Nach einer umfangreichen Studie durch TeleSign sind die Nutzer selbst erschreckend nachlässig, wenn es um ihre Passwortsicherheit geht. Demnach würden etwa 73 % der Befragten ein und dasselbe Passwort für mehrere Zugänge verwenden. Yahoo empfahl daher seinen Nutzern sogleich, Passwörter und die Sicherheitsfragen schnellstmöglich zu erneuern auch die von anderen Konten. Auch sollten Nutzer „Yahoo Account Key“ verwenden, ein einfaches Authentifikationswerkzeug, mit dem ein Passwort nicht mehr nötig sei. Yahoo verwendet bis jetzt auch keine Zweifaktoren-Authentifikation. Doch im Angesicht dieser Vorfälle sollte dies standardmäßig werden für jeden einzelnen Nutzer. Wenn jedoch viele persönliche Daten abgefangen werden können, haben Kriminelle trotzdem genug Informationen, um selbst das zu überwinden.

Für Dr. Johannes Ullrich, IT-Security-Experte bei SANS sind gerade die Zusatzinfos wie Sicherheitsfragen und –antworten bedenklich, die für viele Webseiten ähnlich gestaltet und formuliert sind. Wer die Antworten von einer Seite einmal in Händen hat, kann womöglich auf anderen Seiten Schaden damit anrichten. Solche Fragen und Antworten zu Passwörtern sollten mit genauso großer Sorgfalt betreffend ihrer Wichtigkeit und Sicherheit wie die eigentlichen Passwörter behandelt werden.

Dieser Vorfall zeigt natürlich auch auf, wie riesige Datenmengen relativ einfach gestohlen, gehortet, missbraucht und schließlich erst nach vielen Jahren im Untergrund verkauft werden können. Und auch, dass die bestohlenen Unternehmen in vielen Fällen davon jahrelang nichts mitbekommen. LinkedIn ist etwas Ähnliches passiert. 2012 wurden 6 Millionen Nutzerpasswörter gestohlen und erst viel später wurden 117 Millionen LinkedIn Datensätze im Untergrund zum Verkauf angeboten. Das Unternehmen ist derzeit auch damit beschäftigt, diesen Vorfall neu zu untersuchen.

Artikel von darkreading.com, 22.09.2016: Yahoo Reveals Nation State-Borne Data Breach Affecting A Half-Billion Users
Artikel von bloomberg.com, 22.09.2016: Yahoo Says at Least 500 Million Accounts Breached in Attack
Artikel von theregister.co.uk, 27.09.2016: Senator! calls! for! SEC! probe! to! be! inserted! into! Yahoo!