Im September hatte Yahoo einen Hack von über einer halben Milliarde Nutzerkonten bekanntgegeben. Den Rekord hat Yahoo nun gebrochen. Diesmal geht es um über eine Milliarde Konten. Dazu kommen gezielte Attacken mittels Cookies.

Ende 2014 wurden bei Yahoo Daten von über 500 Millionen Usern abgegriffen. Das hatte Yahoo im September gebeichtet. Am Mittwoch musste der Konzern eingestehen, dass bereits im August 2013 die Daten von mehr als einer Milliarden Yahoo-Konten in falsche Hände gelangt sind. Kein bislang bekannt gewordener Hack hatte auch nur annähernd so viele Opfer.

Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten, und Passwort-Hashes (MD5) sind nun in falschen Händen. Unglücklicherweise kommen dazu noch verschlüsselte oder unverschlüsselte (!) Sicherheitsfragen samt den dazu gehörenden Antworten. Yahoo will nun die „potenziell Betroffenen“ informieren. Sie müssen ihr Passwort ändern, zudem sind die unverschlüsselt gespeicherten Sicherheitsantworten nicht mehr gültig. Zu den Opfern gehören auch Nutzer von Flickr, weil deren Konten gleichzeitig Yahoo-Konten sind.

Den Skandal aufgedeckt hat nicht Yahoo selbst, sondern eine nicht näher bezeichnete Polizei. Sie hat im November Dateien mit den Yahoo-Kontodaten überreicht, wie den FAQ Yahoos zu entnehmen ist. Leider weiß Yahoo nicht, wie die Täter eingedrungen sind. „Die Firma war nicht in der Lage, das in Verbindung mit diesem Diebstahl stehende Eindringen zu identifizieren“, heißt es in einer Mitteilung, „Yahoo glaubt, dass dieser Vorfall wahrscheinlich unabhängig von jenem Vorfall ist, der am 22. September veröffentlicht wurde.“

Bis zuletzt gezielte Angriffe auf einzelne User

Das war der Rekordhack vom Dezember 2014 gewesen, für den Yahoo „staatlich finanzierte Akteure“ verantwortlich macht. Die gleichen Täter sollen aber noch 2015 und sogar dieses Jahr tätig gewesen sein. Dabei haben sie aber, soweit bekannt, nicht ganze Datenbanken kopiert, sondern sich direkt Zugang zu Konten verschafft. Das haben sie den Angaben zu Folge mit gefälschten Cookies geschafft.

Yahoo informiert die Betroffenen per E-Mail und gibt Informationen zum weiteren Vorgehen.

„Auf Grundlage der noch andauernden Untersuchung glaubt das Unternehmen, dass unbefugte Dritte auf proprietären Sourcecode des Unternehmens zugegriffen haben, um das Fälschen von Cookies zu lernen“, schreibt Yahoo. Offenbar war Yahoos Zugriffskontrollsystem so ausgelegt, dass der für den Kontozugang notwendige Cookie-Inhalt vorausberechenbar war. Mit den entsprechend gestalteten Cookies war dann keine Passworteingabe mehr erforderlich. Eine kurze Information über diese Sicherheitslücke hatte Yahoo im jüngsten Quartalsbericht versteckt.

Wieviele Opfer von diesen gezielten Attacken betroffen sind, sagt Yahoo nicht. Die Opfer beider Angriffsarten sollen nun informiert werden, Die Mitteilungen werden nicht zum Klicken von Links oder öffnen von Anhängen auffordern. Die gefälschten Cookies seien inzwischen für ungültig erklärt worden, heißt es in den FAQ. Ob das eine grundlegende Änderung des Zugriffskontrollsystems bedeutet, oder nur eine neue Formel zur Berechnung der Cookiewerte eingesetzt wird, geht daraus nicht hervor.

Yahoo rät seinen Nutzern, folgenden Sicherheitsempfehlungen zu folgen:

  • Ändern Sie Passwörter, Sicherheitsfragen und deren Antworten bei allen Konten, bei denen Sie die selben oder ähnliche Information verwendet haben, wie für Ihr Yahoo-Konto
  • Achten Sie auf verdächtige Aktivitäten bei allen Ihren Konten
  • Seien Sie vorsichtig, wenn jemand unaufgefordert nach Ihren persönlichen Daten fragt oder sie auf eine Webseite verweist, die das tut
  • Vermeiden Sie Links oder Anhänge aus verdächtigen E-Mails

Quelle: https://heise.de/-3570674