Menü
Security

Rekordhack bei Yahoo war drei Mal so groß

Yahoo was pwned. Komplett. Nicht eine Milliarde Konten, sondern alle drei Milliarden Konten wurden im August 2013 gehackt. Das will die Firma erst jetzt bemerkt haben.

Von
vorlesen Drucken Kommentare lesen 195 Beiträge
Eingang mit Drehtüren, darüber Leuchtreklame "YAHOO!"

(Bild: Daniel AJ Sokolov)

Es war der größte Hack aller Zeiten auf Yahoo im August 2013. Erst im November 2016 fiel das einer Polizeibehörde auf. Sie informierte Yahoo, das dann Mitte Dezember an die Öffentlichkeit ging. Die Rede war von über einer Milliarde betroffener Nutzerkonten. Am Dienstag musste die Firma nun eingestehen, dass nicht eine Milliarde, sondern alle drei Milliarden Yahoo-Konten betroffen sind.

Verizon hat Yahoo gemeinsam mit AOL unter das Dach der "Oath"-Holding gepackt.

Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und Passwort-Hashes (MD5) sind nun in falschen Händen – MD5 gilt schon lange als geknackt. Unglücklicherweise kommen dazu noch verschlüsselte oder unverschlüsselte (!) Sicherheitsfragen samt den dazu gehörenden Antworten. Zu den Opfern gehören auch Nutzer von Flickr, weil deren Konten gleichzeitig Yahoo-Konten sind.

Dass Yahoo offenbar komplett unterwandert wurde, ist bei einer eingehenden Untersuchung im Auftrag des neuen Yahoo-Eigentümers Verizon entdeckt worden. Verizon macht aber keine Angaben dazu, warum das nicht schon bei früheren Untersuchungen entdeckt wurde.

Der Rekordhack ist nicht zu verwechseln mit dem wohl zweitgrößten bekannt gewordenen Hack der IT-Geschichte, der ebenfalls Yahoo betraf: Ende 2014 bedienten sich Unbefugte an mehr als einer halben Milliarde Yahoo-Konten. Auch damals gelangten Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten, und schlecht gesicherte Passwort-Hashes in falsche Händen, dazu "in manchen Fällen" verschlüsselte oder unverschlüsselte Sicherheitsfragen und -antworten.

Yahoo vermutete dahinter einen "staatlich finanzierten" Angreifer. Gleiches gilt für einen dritten Millionenhack, der 2015 und 2016 gelaufen ist. Damals hatten Dritte Yahoo-Cookies gefälscht und sich damit Zugang zu "einzelnen" Konten verschafft, wie Yahoo zunächst angab. Später stellte sich heraus, dass "einzelne" nicht weniger als 32 Millionen bedeutete.

Yahoo-Gebäude in San Francisco

(Bild: Daniel AJ Sokolov)

Wegen des 500-Millionen-Hacks wurden im März 2017 drei Russen und ein Kanadier in den USA angeklagt. Laut US-Justizministerium sind zwei der Angeklagten Offiziere des russischen Inlandsgeheimdienstes FSB. Den Männern wird vorgeworfen, die erbeuteten Daten dazu benutzt zu haben, sich auch Zugang zu Konten der Opfer bei anderen Diensten verschafft zu haben. Dafür eignen sich Passwörter, Sicherheitsfragen und -antworten besonders.

Webmailkonten russischer Journalisten, Regierungsvertreter Russlands und der USA sowie von Mitarbeitern privater Unternehmen waren demnach von besonderem Interesse für den FSB. Außerdem soll einer der Angeklagten der Versuchung nicht widerstanden haben können, sich persönlich zu bereichern: Er soll sich in den Yahoo-Konten bei Kreditkartendaten sowie Nummern von Gutscheinkarten bedient, E-Mail-Adressen aus mindestens 30 Millionen Yahoo-Konten für Spamzwecke geerntet und einen Teil des Yahoo-Suchverkehrs umgeleitet haben. Letzteres habe ihm Einnahmen in Form von Kommissionen gebracht. (ds)