Wie erst jetzt bekannt geworden ist, wurde Yahoo bereits 2013 Opfer einer Cyberattacke, bei der Daten von über 1.000.000.000  Nutzerkonten abhandengekommen sind. Damit hat Yahoo seinen eigenen traurigen Rekord aus einem Hack im Jahr 2014, bei dem „nur“ 500.000.000 Nutzer betroffen waren, gebrochen.

Was ist passiert?

Wie Yahoo gestern einräumte, sind im Rahmen eines Sicherheitsvorfalls durch eine unberechtigte Dritte Partei im August 2013 Nutzerdaten von über 1 Mrd. Konten gestohlen worden:

„As we previously disclosed in November, law enforcement provided us with data files that a third party claimed was Yahoo user data. We analyzed this data with the assistance of outside forensic experts and found that it appears to be Yahoo user data. Based on further analysis of this data by the forensic experts, we believe an unauthorized third party, in August 2013, stole data associated with more than one billion user accounts. We have not been able to identify the intrusion associated with this theft.“

Wer die Angreifer waren und vor allem, wie es ihnen gelungen ist, in das System eizugringen und die Daten zu stehlen, ist bislang nicht bekannt. Es ist daher nicht davon auszugehen, dass die Sicherheitslücke nun geschlossen ist.

Welche Daten sind betroffen?

Bei den gestohlenen Daten handelt es sich um Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten, Hashwerte von Passwörtern und z.T. unverschlüsselte Sicherheitsfragen und die dazu gehörigen Antworten. Zahlungsdaten oder Kontoinformationen waren laut Yahoo in dem betroffenen System nicht hinterlegt.

Yahoo hebt in der Information der betroffenen User zwar hervor, dass keine im Klartext gespeicherten Passwörter abhandengekommen sind, teilt aber gleichzeitig mit, dass der veraltete Algorithmus MD5 verwendet wurde. Dieser lässt sich heutzutage jedoch relativ leicht „knacken“. Darüber hinaus könnten die schon im Klartext gestohlenen Antworten auf Sicherheitsfragen zur Umgehung von Passwörtern missbraucht werden.

Wie sollten betroffene Nutzer reagieren?

Yahoo informiert nach eigenen Angaben sämtliche Betroffene via E-Mail, setzt deren Passwörter zurück und deaktiviert die Sicherheitsfragen. Nutzer werden außerdem aufgefordert,

  • ihre Passwörter und Sicherheitsfragen für alle anderen Dienste zu ändern, bei denen identische Zugangsdaten verwendet werden,
  • sämtliche Accounts auf verdächtige Aktivitäten zu überprüfen,
  • stets vorsichtig zu sein, wenn sie auf Webseiten oder durch unangeforderte Mitteilungen nach persönlichen Informationen gefragt werden und
  • nicht auf Links oder Anhänge in verdächtigen E-Mails zu klicken.

Wir raten darüber hinaus, im Rahmen von Passwortänderungen zu beachten, dass unbedingt sichere und für jeden Dienst oder Account unterschiedliche Passwörter verwendet werden. Wie Sie ein starkes Passwort auswählen und wie Sie es sich merken können, erfahren Sie hier.

Welche Auswirkungen hat der Hack für Nutzer?

Die Auswirkungen dieses Vorfalls dürften aktuell nicht ansatzweise absehbar sein. Der Hack liegt bereits drei Jahre zurück. Es ist absolut nicht auszuschließen, dass die erbeuteten Daten in dieser Zeit unbemerkt missbräuchlich verwendet wurden. Die Tatsache, dass viele User dazu neigen, ein (unsicheres) Passwort für sämtliche Accounts zu verwenden, kann das Schadenspotential erheblich erhöhen.

Yahoo schwer angeschlagen

Der jetzt bekannt gewordene Vorfall dürfte den Druck auf den ohnehin angeschlagenen Konzern weiter verschärfen. Erst im September musste Yahoo ein Datenleck einräumen, bei dem 500 Mio. Datensätze betroffen waren. Außerdem steht der Konzern in Verdacht, die Inhalte von E-Mails für US Sicherheitsbehörden auf bestimmte Schlagwörter zu scannen.

Bemerkenswert ist außerdem, dass Yahoo es offenbar trotz allem versäumt hat, effiziente Prozesse zur Erkennung und zur Meldung solcher Vorfälle einzurichten. Der Konzern weiß seit über einem Monat von dem Hack. Gerade im Blick auf die EU-Datenschutzgrundverordnung sollten sich Unternehmen solche Versäumnisse nicht mehr leisten. Ab 2018 bleiben Ihnen für eine entsprechende Meldung lediglich 72 Stunden.

Mit freundlicher Genehmigung von Datenschutzbeauftragter