Rekordhack bei Yahoo: Daten von halber Milliarde Konten kopiert
Bei Yahoo wurden Ende 2014 Daten von 500 Millionen Usern abgegriffen. Diesen GAU gestand Yahoo am Donnerstag ein. Das Unternehmen vermutet einen "staatlich finanzierten" Angreifer dahinter.
"Wir haben bestätigt, dass Ende 2014 eine Kopie bestimmter Nutzerkontoinformationen aus dem Netzwerk der Firma gestohlen wurde", beichtet Yahoos Sicherheitschef Bob Lord in einer aktuellen Mitteilung. Mindestens 500 Millionen Konten seien betroffen. Damit handelt es sich, gemessen an der Zahl der Opfer, um einen der größten bekannt gewordenen Hacks der IT-Geschichte. Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten, und Passwort-Hashes sind nun in falschen Händen.
Unglücklicherweise kommen dazu "in manchen Fällen" noch verschlüsselte oder unverschlüsselte (!) Sicherheitsfragen und -antworten. Yahoo vermutet einen "staatlich finanzierten" Angreifer, ohne diese Vermutung näher zu begründen. "Die Untersuchung hat keine Beweise erbracht, dass der staatlich finanzierte Akteur derzeit in Yahoos Netz ist", so Lord. Im August waren bereits 200 Millionen Yahoo-Datensätze im Netz feilgeboten worden.
Betroffene User möchte Yahoo per E-Mail informieren. Diese Nachrichten werden nicht zum Klicken von Links oder öffnen von Anhängen auffordern. Die Opfer sollen umgehend ihre Passwörter ändern. Gleiches empfiehlt Yahoo allen seinen Nutzern, die ihr Passwort seit 2014 nicht mehr geändert haben. Die unverschlüsselt gespeicherten Sicherheitsfragen und -antworten funktionieren übrigens nicht mehr. "Überprüfen Sie Ihre Konten auf verdächtige Aktivitäten", rät der Konzern schließlich allen seinen Usern.
Im Unterschied zu den USA spielt Yahoo und beispielsweise sein Maildienst selbst in Deutschland eigentlich keine große Rolle mehr. Allerdings sind auch zu Yahoo gehörende Dienste wie Flickr und Tumblr nur mit einem Yahoo-Account zu verwenden. Yahoo und diese Dienste stehen kurz vor der Übernahme durch Verizon.
[Update 23.09.2016 10:55]:
Bei Yahoo könnte der Datendiebstahl in dieser außergewöhnlichen Dimension auch den Verkauf des Web-Geschäfts an den Telekom-Konzern Verizon erschweren. Verizon erklärte, man werde die Situation ausgehend aus den Interessen des eigenen Unternehmens sowie der Kunden und Aktionäre prüfen. Der Telekom-Riese sei erst vor zwei Tagen von dem Datendiebstahl unterrichtet worden und verfüge nur über eingeschränkte Informationen. Die Yahoo-Übernahme für rund 4,8 Milliarden Dollar war im Juli vereinbart worden.
Unklar blieb bisher, seit wann genau Yahoo von dem gewaltigen Datendiebstahl wusste. Nach Informationen der Washington Post erhielt das Unternehmen Hinweise im Juli. Yahoo äußere sich aber nicht dazu, ob das vor oder nach Abschluss des Deals mit Verizon geschah, schrieb die Zeitung. In einer Pflichtmitteilung zum Verizon-Deal hatte Yahoo noch am 9. September erklärt, dem Unternehmen sei kein Diebstahl von Nutzerdaten bekannt. (ds)