Yahoo verliert die Kontrolle über eine Milliarde Konten
Super-GAU bei Yahoo: Bereits im September musste die Firma beichten, Opfer des größten Datenklaus der IT-Geschichte geworden zu sein. Aber nun setzt der Internet-Konzern noch eins drauf und stellt einen neuen traurigen Rekord auf. Bereits ein Jahr vor dem bisher bekannten Angriff sollen Hacker sage und schreibe eine Milliarde Yahoo-Konten kompromittiert haben. Besonders peinlich: Die Security-Spezialisten der Firma hatten den Hack nicht selbst entdeckt, sondern wurden durch die Polizei informiert. Nach wie vor weiß Yahoo nicht, wie die Angreifer in die Systeme der Firma eingebrochen sind.
Bekannt ist, dass die Hacker im August 2013 die Namen, Mail-Adressen, Telefonnummern, Geburtsdaten und Passwort-Hashes der Nutzer mitgehen ließen. Die Passwörter waren per MD5 gehasht; man kann also getrost davon ausgehen, dass sie bereits vor Jahren geknackt wurden. Außerdem kopierten die Eindringlinge die Sicherheitsfragen (und -antworten) der Konten, welche allesamt im Klartext vorlagen. Neben Nutzern der Yahoo-Webseite und des E-Mail-Dienstes der Firma sind auch Flickr- und Tumblr-Nutzer betroffen – beide Dienste nutzen ebenfalls die Anmeldung über ein Yahoo-Konto.
Nach zwei getrennt voneinander aufgetretenen Rekord-Datenlecks von jeweils einer halben und einer Milliarde Konten hat Yahoos Ruf in der Security-Gemeinde nun endgültig den Tiefpunkt erreicht. Es wurde ebenfalls bekannt, dass es mindestens einer Einbrecher-Gruppe gelang, die Session-Cookies der Nutzerkonten zu generieren, ohne das Passwort des dazugehörigen Nutzers zu kennen. So konnten sie fast nach Belieben in den Konten von Yahoo-Nutzern ein- und ausgehen.
Der Glaube an die Sicherheit der Yahoo-Systeme wurde schon arg erschüttert, als bekannt wurde, dass wichtige Mitarbeiter des firmeneigenen Security-Teams um Sicherheitschef Alex Stamos die Firma Mitte 2015 verlassen hatten, nachdem sie erfuhren, dass die Firmenleitung am eigenen Sicherheitsteam vorbei Software hatte einbauen lassen, um Strafverfolgungsbehörden Zugang zu den E-Mails der Kunden zu geben.
Auch bei Verizon, wo man Yahoo eigentlich für fast 5 Milliarden US-Dollar übernehmen wollte, denkt man wohl darüber nach, den Deal wegen der Pannenserie platzen zu lassen. Am Tag der Verlautbarung zum zweiten Hack fiel der Aktienkurs von Yahoo auf jeden Fall schon mal kräftig. (fab@ct.de)