Yahoo hat nun schon wieder Schlagzeilen gemacht in Sachen Benutzerkonten-Hacks. Erst kürzlich gab das Unternehmen bekannt, dass sich im August 2013 ein Vorfall ereignete, der über eine Milliarde Yahoo-Nutzerkonten betraf. Bereits im September 2016 musste Yahoo eine Sicherheitsverletzung bekannt geben, die etwa 500 Millionen Nutzerkonten betraf, die 2014 gehackt wurden. Sechs amerikanische Senatoren kritisierten seinerzeit bereits das Unternehmen, dass die Bekanntmachung des Vorfalls so lange gedauert hatte.

Laut Yahoo haben die beiden Vorfälle jedoch nichts miteinander zu tun. Die Größenordnung kann einem durchaus schon schwindelig machen und natürlich kommen da Fragen auf. Brian Krebs von KrebsOnSecurity sagte in einem Artikel, das er

„schon seit langem Freunde und Familie davon abrät, Yahoo zu benutzen. Vor allem deswegen, da Yahoo im Vergleich zu seinen Konkurrenten immer schlechter dastehen, wenn es um Spamfluten oder E-Mail-Angriffe geht.“

John Pescatore, SANS Sicherheitsexperte, geht hier sogar so weit, dass er Yahoo im gleichen „Cybersicherheits Justin Bieber“-Club sieht. Wie Adobe Flash – man weiß, wann immer sie in den Nachrichten sind, ist es, weil sie schon wieder was vermasselt haben. Er kommentierte den Vorfall weiter, indem er sagte,

„es seien zwei Lektionen hieraus zu lernen: (1) Dabei zu versagen, die Nutzer zu schützen, ist praktisch ein großes Versäumnis. Gleich komplett zu versagen – andere wie Google Mail und Microsoft Hotmail – haben ähnliche Angriffe vermieden oder im Umfang beschränken können, und so ihre Marktanteile vergrößert. (2) Vorstände und Geschäftsführer herhören: Der Yahoo Verkauf an Verizon wird nicht passieren oder nur zu einem viel niedrigeren Preis. Beide (1) und (2) zeigen, dass die Kompetenz für IT-Sicherheit direkt mit dem Aktionärswert bzw. Unternehmenswert verbunden ist.“

Was war 2013 eigentlich passiert? Obwohl Yahoo sich weiterhin alle Mühe gibt, den Vorfall grundlegend aufzuklären, scheint es nach eigenen Aussagen keine Ahnung zu haben, wer hinter den Angriffen steckt. Yahoo weiß zumindest, an was die Angreifer ihre Finger kriegen konnten. Unter den gestohlenen Daten sind Namen, E-Mail-Adressen, Geburtstage, Hash-Passwörter und eine Mischung aus verschlüsselten und unverschlüsselten Sicherheitsfragen und Antworten, jedoch keine unverschlüsselten Passwörter, Kreditkartennummern oder Bankkontoinformationen.

Yahoo war es wichtig zu bestätigen, dass es Finanzdaten in einem separaten System speichert, und es denkt nicht, dass dieses System kompromittiert wurde. Yahoo lieferte noch zwei weitere Sicherheitsvorfälle nach: 2015 und 2016 verwendeten Hacker manipulierte Cookies, um Sicherheitssoftware zu umgehen und so auf Benutzerkonten ohne Passwörter zugreifen konnten. Letzteres ist natürlich eine haarsträubende Mitteilung für alle Yahoo-Kunden. Für eine riesige Anzahl von Nutzern liegt hier ein echtes potenzielles Risiko in Sachen Social Engineering und Identitätsdiebstahl vor.

Experten sagen über Passwörter, die mit MD5 gehasht wurden, dass es bekannt sei, dass diese Methode mehrere Schwachstellen aufweist. Aufgrund der Untersuchungsergebnisse glaubt Yahoo, das vermeintliche Hacker auf den firmeneigenen Code zugreifen konnte und so erkennen konnte, wie die Cookies zu programmieren sind. Yahoo hat diese Cookies inzwischen ungültig gemacht.

„Authentifizierungscookies sind Textdateien, die Informationen über die Benutzersitzung mit Yahoo enthalten. Cookies können noch sehr viele andere Informationen über den Benutzer enthalten, beispielsweise, ob der Benutzer sich bereits auf den Servern des Unternehmens authentifiziert hat oder nicht. Außerdem könnte ein manipuliertes Cookie den Angreifern erlaubt haben, in den gehackten Konten wochenlang oder sogar unbegrenzt lang eingeloggt zu bleiben“,

erklärte Sicherheitsexperte Brian Krebs hierzu. Alles ganz erschreckende Nachrichten für Yahoo und seine riesige Nutzerschar.

Siehe auch:

• Hackereinbruch in Yahoo während des Verkaufs an Verizon verspricht aufregende Zeiten! 500 Mio. Userdaten betroffen.
• Weitere Details über infizierte Yahoo-Werbung
• Yahoo-Werbung infiziert Tausende Nutzer in Europa
• Yahoo-Mail wegen mangelnder Sicherheit in die Wüste geschickt
• Yahoo wird wegen fehlender Sicherheit verklagt
• 450.000 Yahoo Voice Logins kompromittiert

Artikel von wired.com, 14.12.2016: Hack Brief: Hackers Breach a Billion Yahoo Accounts. A Billion
Artikel von theregister.co.uk, 14.12.2016: Yahoo! says! hackers! stole! ONE! BEELLION! user! accounts!
Artikel von krebsonsecurity.com, 14.12.2016: Yahoo: One Billion More Accounts Hacked