2015 und 2016 wurden "einzelne" Yahoo-Konten über gefälschte Cookies gekapert. Monatelang hielt Yahoo die Opferzahl von 32 Millionen geheim. Dabei ist das immer noch wenig, im Vergleich zu zwei anderen Hacks bei Yahoo.

Neben den Rekordhacks von einmal über 500 Millionen Konten und dann mehr als einer Milliarde Konten gab es bei Yahoo noch einen dritten Hack. Dabei wurde auf "einzelne" Konten mittels gefälschter Cookies zugegriffen. Das hatte Yahoo im November im Quartalsbericht versteckt. Nun ist bekannt, was Yahoo unter "einzelne" versteht: Es waren 32 Millionen.



Deckblatt des Jahresberichts an die SEC "Wir glauben, dass unbefugte Dritte auf [unseren] proprietären Sourcecode zugegriffen haben, um zu lernen, wie Cookies gefälscht werden können", heißt es in Yahoos Jahresbericht an die US-Kapitalmarktbehörde SEC. "Unabhängige Forensiker haben ungefähr 32 Millionen Konten ausgemacht, von denen [die Forensiker] glauben, dass 2015 und 2016 gefälschte Cookies verwendet oder genommen wurden." Bislang hatte sich Yahoo geweigert, die Schätzung der Opferzahlen zu verlautbaren.

Yahoo glaubt, dass der Cookie-Angriff von der selben staatlichen Einrichtung durchgeführt wurde, die 2014 mehr als eine halbe Milliarde Konten auf einmal kopiert hat. Diesen Vorfall hat der Konzern im September gebeichtet. Welcher Staat dahinter stecken soll, sagt Yahoo nicht. Damals wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten, und Passwort-Hashes abgegriffen. Die meisten Passwörter waren mit bcrypt behandelt, was als sicher gilt. Außerdem ergatterten die Angreifer, verschlüsselte und unverschlüsselte (!) Sicherheitsfragen samt Antworten.

Bild: Daniel AJ Sokolov Es war der größte bekannt gewordene Hack der IT-Geschichte – bis Yahoo im Dezember mitteilen musste, dass bereits im August 2013 die Daten von mehr als einer Milliarden Yahoo-Konten in falsche Hände gelangt sind. Auch damals wurden die Angreifer mit Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten, verschlüsselten und unverschlüsselten Sicherheitsfragen samt den dazu gehörenden Antworten sowie Passwort-Hashes belohnt. Dabei war aber nicht bcrypt, sondern MD5 eingesetzt worden, und MD5 gilt schon lange als geknackt.

Die Vorfälle bleiben nicht ohne juristische Folgen. In den USA gibt es "ungefähr" 43 Sammelklagen betroffener User. Dazu kommen vier Klagen von Aktionären und eine Aktionärssammelklage. Verizon wird zwar weiterhin Yahoos Kerngeschäft übernehmen, zahlt jedoch 350 Millionen US-Dollar weniger als ursprünglich angesetzt. Außerdem muss Yahoo die Hälfte aller Kosten und Strafen aus den verschiedenen juristischen Verfahren übernehmen.

Zu der Sicherheitskatastrophe gesellte sich bei Yahoo aber auch noch Management-Versagen dazu. Der Vorfall aus 2014 wurde zwar vom Security-Team bemerkt, das auch mit neuen Sicherheitsmaßnahmen reagierte. Und Ende 2014 wussten auch führende Manager und Mitarbeiter der Rechtsabteilung Bescheid. Doch "es sieht danach aus, dass bestimmte führende Manager nicht ordentlich verstanden oder untersucht haben, und daher dabei versagt haben, auf das volle Ausmaß […] ausreichend zu reagieren", gesteht Yahoo im aktuellen Jahresbericht unter Berufung auf ein unabhängiges Untersuchungskomitee.

"Das Unabhängige Komitee hat festgestellt, dass Versagen bei Kommunikation, Management, Nachforschung und interner Berichterstattung zu dem mangelhaften Verständnis und der Bearbeitung des Sicherheitsvorfalls aus 2014 beigetragen haben", so Yahoo. Der Verwaltungsrat sei nicht adäquat über die Schwere des Vorfalls, die Risiken und die potenziellen Auswirkungen informiert worden. Diese Woche wurde der Chefjurist ohne Abfertigung gegangen, Konzernchefin Marissa Mayer bekommt keine Boni für 2017.