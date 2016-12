Yahoo: Eine Milliarde Konten erbeutet

Was hinter der Horrormeldung steckt, und wie man sich schützen kann.

Der Angriff sei schon im Jahr 2013 passiert, verlautbart Yahoo in einer E-Mail, die auch ich heute Früh erhalten habe. Gewusst habe man von dem Datenleck aber auch selbst erst seit November 2016.

Yahoo

Was wurde gestohlen?

Die gestohlenen Daten beinhalteten Namen, E-Mail-Adressen, Telefonnummern, Geburtstdaten, Passwörter (allerdings verschlüsselt, sogenannte MD5-Hashes) sowie unverschlüsselte Sicherheitsfragen und deren Antworten. Es gebe laut Yahoo keine Hinweise darauf, dass Kreditkartendaten oder Bankdaten gestohlen wurden.

Sicherheitsexperten gehen von bis zu einer Milliarde betroffener Yahoo-Konten aus, weil 2013 der Source Code der Yahoo-Software gestohlen worden ist. Daraus bastelten sich die Angreifer dann gefälschte Userkonten zurecht und schleusten Malware ins System ein. So konnten sie dann alle Userdaten absaugen.

Wer steckt hinter dem Angriff?

Yahoo geht von einem „State Sponsored Actor“ aus, sagt aber nicht welcher Staat. Das Vertrauen in Yahoo, mittlerweile ein Teil des Telekom-Konzerns Verizon, ist wohl nachhaltig beschädigt, denn es ist bereits der zweite massive Datenverlust innerhalb der letzten drei Jahre. Auch, dass die User über das Datenleck erst informiert werden, nachdem Behörden darauf aufmerksam geworden sind, wirkt nicht gerade vertrauensbildend. An dieser Stelle könnte man sich natürlich fragen:

Verwendet noch irgendjemand Yahoo?

Der Konzern sagt, dass eine halbe Milliarde User jeden Monat die Dienste der diversen Yahoo-Plattformen nützen.

Bei manchen Plattformen ist einem vielleicht gar nicht so recht bewusst, dass sie zu Yahoo gehören. Flickr zum Beispiel – quasi eine Standardplattform für Fotografen und Künstler, um Bilder hochzuladen und der Welt zu zeigen. Auch die sehr populäre Smartphone-App Tumblr gehört zu Yahoo, oder der Kartendienst GeoPlanet. Daneben gibt es natürlich mit dem Namen der Firma versehene Dienste wie „Yahoo! Mail“, „Yahoo! Groups“ und „Yahoo! News“. Egal ob das Wort im Namen vorkommt oder nicht: Betroffen sind die Nutzerdaten aller Dienste, die zu Yahoo gehören.

AP

Wie soll man sich als Yahoo-User jetzt am besten verhalten?

In der E-Mail, die ich heute erhalten habe, sagt der Konzern, dass alle alten Passwörter und Sicherheitsfragen eh schon zurückgesetzt worden sind. Trotzdem besteht weiterhin Gefahr - vor allem für User, die dasselbe Passwort bei verschiedenen Plattformen verwenden. Das sollte man natürlich grundsätzlich nicht, aus Bequemlichkeit ist es aber sehr verbreitet. Ein Angreifer, der über die gestohlenen Daten verfügt, kann sich aus gestohlenen kryptographischen Hashes den Klartext der Passwörter ausrechnen – das ist umso einfacher, je kürzer und simpler das Passwort ist.

Außerdem können sich die Sicherheitsfragen bei anderen Plattformen wiederholen – so etwas wie „In welcher Straße bist du aufgewachsen“. Ich empfehle, solche Sicherheitsfragen grundsätzlich nicht zu verwenden. Stattdessen bietet sich (nicht nur bei Yahoo-Konten) grundsätzlich die Two-Factor-Authentification über ein mobiles Endgerät an. Dann erhält man immer, wenn man sich von einem neuen Computer einloggen will, einen Einmal-Code aufs Smartphone oder Tablet. Ein Hacker, der über gestohlene Daten verfügt, besitzt das mobile Gadget nicht und kann somit nicht in den Account hinein. Das ist wesentlich sicherer als Sicherheitsfragen, deren Antworten ein Angreifer auch durch Social Engineering herausfinden können - was immer wieder geschieht.