Einmal ausatmen bitte – es nicht schon wieder etwas passiert bei Yahoo. Allerdings verschlägt es einem schon die Sprache, was Yahoo erst nach und nach herausgefunden und jetzt zugegeben hat: Bei dem Hackerangriff 2013 wurden tatsächlich alle drei Milliarden Yahookonten gehackt. Zuerst hieß es im August 2013 wären eine Milliarde seiner Nutzer betroffen gewesen. Dann die Botschaft, dass es auch 2014 einen Vorfall gegeben hatte, mit 500 Millionen betroffenen Konten. Aber drei Milliarden Nutzerkonten – das sind alle der damals vorhandenen Konten.

Vier Jahre haben die Verantwortlichen bei Yahoo gebraucht, um das herauszufinden. Vier Jahre, um die Zahl der betroffenen Accounts so deutlich nach oben zu korrigieren und letztendlich publik zu machen? Vielen ist bis heute nicht klar, weshalb Yahoo eingangs einfach so sagen konnte, das nur ein Drittel der Konten betroffen waren. Selbst Insider hatten damals schon gemutmaßt, dass der Angriff die Yahoo Systeme so tief getroffen habe, das es klar war, dass alle Konten betroffen sein mussten.

Yahoo nahm zu den schwelenden Fragen der Öffentlichkeit Stellung. Sie erläuterte den Ablauf der Ereignisse für alle Interessierten: „Nach der Übernahme von Yahoo durch Verizon und während der Integration erhielt das Unternehmen kürzlich neue Erkenntnisse. Es glaubt nun nach einer Untersuchung mit Unterstützung von externen forensischen Experten, dass sehr wahrscheinlich alle Yahoo-Benutzerkonten vom Diebstahl betroffen waren im August 2013 „.

Es hieß weiter: Zu den gestohlenen Informationen könnten Benutzernamen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und in einigen Fällen verschlüsselte oder unverschlüsselte Sicherheitsfragen und –antworten gehören. Aber vermutlich auch solche, mit dem schwachen kryptografischen Hashalgorithmus MD5 verschlüsselte Kennwörter. Laut Yahoo gehen Ihre Forensiker nicht davon aus, dass unter den gestohlenen Informationen Klartext-Passwörter, Kreditkartendaten oder Bankkontoinformationen seien.

SANS Sicherheitsexperte Jake Williams postete dazu:

„Der Punkt hier ist, dass die Zahl von „einige Konten“ zu „alle Konten“ geändert wurde. Der Schaden an Yahoo‘s Ruf dadurch, dass das Unternehmen die ursprüngliche Anzahl der betroffenen Konten falsch gemeldet hat (und in der Zwischenzeit viele User damit gefährdete), kann viel schlimmer sein, als der Schaden durch den Hack selbst.“

Siehe auch:

• Hackereinbruch senkt Yahoo-Verkaufspreis
• Yahoo: riesiger Angriff auf eine Milliarde Yahoo-Konten
• Hackereinbruch in Yahoo während des Verkaufs an Verizon verspricht aufregende Zeiten! 500 Mio. Userdaten betroffen.

Artikel von wired.com, 03.10.2017: Yahoo’s 2013 Email Hack Actually Compromised Three Billion Accounts
Artikel in arstechnica.com, 04.10.2017: Every Yahoo account that existed—all 3 billion—was compromised in 2013 hack

Urheberrecht Beitragsbild: shutterstock.com