Yahoo vermeldet weiteren Einbruch, Daten von mehr als 1 Milliarde Accounts gestohlen

yahoo logoYahoo macht wieder mit negativen Schlagzeilen die Runde. Das Unternehmen muss nun schon den zweiten großen Angriff in diesem Jahr melden, man spricht von einer Anzahl von mehr als 1 Milliarde Accounts, deren Daten entwendet wurden. Erst im September vermeldete man, dass Angreifer 2014 Zugriff hatten und so an Informationen von bis zu 500 Millionen Konten gekommen sind. Der nun bekannte, noch „erfolgreichere“ Angriff soll aber noch weiter zurückliegen als 2014, seitens Yahoo geht man davon aus, dass die Daten aus dem August 2013 stammen.

Yahoo

For potentially affected accounts, the stolen user account information may have included names, email addresses, telephone numbers, dates of birth, hashed passwords (using MD5) and, in some cases, encrypted or unencrypted security questions and answers.

Zu den Daten gehören unter Umständen Telefonnummern, Mail-Adresse, angegebene Geburtsdaten, gehashte Passwörter (MD5) und auch unverschlüsselte und unverschlüsselte Sicherheitsfragen. Dinge wie Passwörter im Klartext und Kreditkarten sollen nicht zu den erbeuteten Datensätzen gehören. Laut Yahoo kann es sein, dass die Angreifer mit gefälschten Cookies gearbeitet haben, um auf Konten zuzugreifen, diese Cookies habe man aber bereits als ungültig deklariert.

Yahoo

We are notifying potentially affected users and have taken steps to secure their accounts, including requiring users to change their passwords. We have also invalidated unencrypted security questions and answers so that they cannot be used to access an account. With respect to the cookie forging activity, we invalidated the forged cookies and hardened our systems to secure them against similar attacks. We continuously enhance our safeguards and systems that detect and prevent unauthorized access to user accounts.

Yahoo wird nun Nutzer benachrichtigen. Man gehe davon aus, dass es sich um einen Angriff handelt, der von „einer staatlichen Seite“ unterstützt gewesen sein könnte.

Was ihr nun machen solltet, sofern ihr einen alten, vergessenen Account habt? Oder einen, der die identischen Zugangsdaten wie andere von euch verwendete Dienste nutzt? Ändert eure Passwörter und Sicherheitsfragen. Oder löscht euren Yahoo-Account, falls nicht mehr vonnöten.

Yahoo hat eine detaillierte Infoseite ins Netz gestellt. Zu Yahoo gehören auch Unternehmen wie Flickr oder auch Tumblr.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

17 Kommentare

  1. Gut das ich Yahoo nur als 3.Konto hatte u. dort nur unwesentliches aufgelaufen ist. War somit ein Leichtes die Kiste zu schließen. Fragt sich welche Nutzer da eigentlich noch informiert werden sollen? 1 Milliarde ehemaliger Kunden?

  2. Ich hatte noch einen Uralt-Account aus Yahoos Anfangszeiten, den ich eigentlich nur für Flickr gebraucht hatte. Yahoo ist tot, Flickr ist tot, Account gelöscht.

  3. 1 Mrd. Nutzerkonten, zuvor schon einmal 500 Mio. und das war schon nicht der erste Angriff. Ist Yahoo wirklich noch derart weit verbreitet? Yahoo ist bei mir kurz vor: „Ach die gibt es immer noch?“, so ähnlich wie mit AOL.

  4. Immerhin geben sie zu, dass sich damals technisch noch absolute Vollpfosten waren, was leider wenig darauf hoffen lässt, dass sie es heute besser machen. Die Offenheit finde ich bemerkenswert. Passwörter MD5, das ist ja fast so schlimm wie im Klartext. Sicherheitsfragen im Klartext oder verschlüsselt. Kann mir jemand erklären, warum man die, nicht eben so wie die Passwörter, mit einem vernünftigen Algorithmus hashed, natürlich in vielen Runden und mit nem ordentlichen Salt dran? Das war auch schon 2013 Stand der Technik und ist wirklich nicht schwierig zu implementieren.

    Mich bestärkt das nur wieder in meinem Vorgehen: Jeder Dienst, der nicht gerade das Hasenzüchterforum ist, bekommt ein eigenes zufälliges Passwort, und Sicherheitsfragen ebenso: Zufälliger Zeichensalat. Damit das funktioniert, sind die Daten bei mir in KeePass hinterlegt. Die Datei darf ich natürlich nicht verlieren…

  5. Das ist schon krass, aber eigentlich auch nicht so sehr überraschend. Von Yahoo wurde ich beim ersten Mal schon angeschrieben, ich weiß gar nicht mehr warum und wofür ich dort einen Account hatte.

    @Caschy:
    Bau mal den Satz „Das Unternehmen muss nun schon den zweiten großen Angriff in diesem Jahr melden,“ um in „Das Unternehmen muss nun in diesem Jahr schon den zweiten großen Angriff melden,“. Der erste Satz liest sich wie ein zweiter großer Angriff in diesem Jahr und weniger wie das zum zweitenmal gemeldet wird es gab einen Angriff.

  6. Hab meine 3 Accounts nach dem ersten Datenleak konsequent geschlossen! Leid tat mir nur mein Flickr-Account wo ich über 10 Jahre aktiv war…

  7. Kopiert, caschy! Kopiert! Nicht gestohlen!

  8. Yahoo bleibt als Drittaccount auf jeden Fall aktiv. Es lassen sich unbegrenzt viele Einmal-Mailadressen anlegen, welche man auch noch nach Jahren nutzen oder halt gleich wieder löschen kann.

  9. Thx @Schrõppke „Es lassen sich unbegrenzt viele Einmal-Mailadressen anlegen“ – das erklärt wahrscheinlich die Anzahl von: 1.000.000.000

  10. Keepass oder 1Passwort und jedem Account ein anderes Passwort. ich habe seit gefühlt 1000 Jahren dort einen Account, grausig, das die das noch nicht auf die Kette bekommen haben.

  11. @Perdenarr Habe doch nur nach dem angesagten Motto gehandelt: Make Yahoo great again! …. oh wait!….

  12. @Saujunge:
    Damals?
    Wenn man auch heute noch die Cookies errechnen kann, gilt deine Aussage auch für heute noch…

  13. @wMAN
    Vollkommen richtig.

    Tja, Schadensersatzansprüche, selbst wenn es sie gäbe, gegen ein solchen US-Konzern würde man sie nie durchgesetzt bekommen.

    Und da das so ist, gibt es gar keine Motivation, die Daten besser zu schützen. Im Gegenteil: man bekommt von verschiedenen Seiten noch dumme Fragen, wenn die Daten zu sicher sind, Ruf nach Hintertüren, Ruf nach Kooperation seitens der Strafverfolgung.

  14. @Ben
    Die Fotocommunity FLICKR ist auch Yahoo. Da meldet man sich mit dem Yahoo-account an, egal ob man E-Mail nutzt oder nicht. Also sooo unter ferner liefen is nich!

  15. @max
    und wohin bist du mit den Fotos aus Flickr jetzt ins Exil gegangen??
    Zonerama ? Ipernity ? Google?

  16. Ich habe meinen Account schon nach dem letzten Hack gelöscht. War kein wirklicher Verlust, hatte den Account sowieso nur noch für Spam Mails.

  17. Wohl dem, der seine Passwörter regelmäßig ändert und für jeden Dienst ein anderes Passwort verwendet… und wo möglich 2FA aktiviert hat…