Yahoo ist offenbar Opfer eines der größten Datendiebstähle in der Geschichte des Internets geworden. Der Konzern ließ am 14. Dezember in der Meldung „Wichtige Sicherheitsinformationen für Yahoo User“ verlauten, dass unautorisierte Dritte im August 2013 über 1 Mrd. Nutzerdaten stehlen konnten. Das Unternehmen sei indes mit forensischen Untersuchungsmethoden an der Aufklärung des Datendiebstahls. Bis jetzt ist es aber nicht gelungen, das Eindringen der Unbekannten nachzuvollziehen. Yahoo glaubt, dass der Vorfall nichts mit jenem vom 22. September 2016 zu tun hat.

Erst im September musste Yahoo ein Datenleck von mehr als 500 Millionen Userdaten zugeben, dass aus einem Hack Ende des Jahres 2014 stammte. Auch dieses Mal sollen wieder Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten, und Passwort-Hashes in falschen Hände gelangt sein. In der Stellungnahme heißt es weiterhin, dass unverschlüsselte Sicherheitsabfragen deaktiviert wurden, damit Dritte diese nicht für einen unautorisierten Kontozugriff benutzen können. Zusätzlich deaktivierte Yahoo Cookies, die für eine dauerhafte Anmeldung sorgten. Offenbar hatten es Angreifer geschafft, proprietären Code zu kapern und eigene Cookies zu basteln. Dadurch hatten die Cyber-Kriminellen Zugriff auf ausgewählte Konten, ohne ein Passwort zu benötigen. Abschließend erklärte der Chief Information Security Officer Bob Lord das Bankdaten nicht betroffen sind.

yahoo-sicherheitsproblem-dezember-2016

Hinweise auf Sicherheitsprobleme bei Yahoo (Quelle: Screenshot)

Yahoo Hack – Wie User jetzt handeln müssen

Das US-Amerikanische Internetunternehmen reagierte entsprechend und versendete Hinweise auf den Datendiebstahl an Betroffene mit dem Betreff: „Wichtige Nachricht zur Sicherheit Ihres Kontos“. In dem Schreiben klärt Yahoo über den Vorfall auf und erläutert, welche Schritte nun eingeleitet werden. Außerdem bitten die Verantwortlichen folgende Schutzmaßnahmen umzusetzen:

Alle potentiell Betroffenen sollten unverzüglich ihr Passwort ändern und alternative Mittel zur Kontenverifizierung einrichten. Das richtet sich vor allem an diejenigen, die ihr Kennwort seit 2014 nicht mehr geändert haben. Das gilt auch für Sicherheitsabfragen und Antworten. Wir finden es gut und richtig, dass Yahoo in diesem Zuge nochmal auf die alternative Anmeldemethode des Yahoo Account-Schlüssels hinweist. Mit dieser Methode benötigt man kein Passwort mehr für eine Anmeldung, sondern einfach das eigene Smartphone. Ähnlich der 2-Faktoren-Authentifizierung nützt der persönliche Gegenstand zur einwandfreien Authentifizierung des anmeldenden Users. Für Cyber-Kriminelle, die irgendwo auf der Welt sitzen ist es wesentlich einfacher ein Passwort zu stehlen, als das mit dem User-Konto verbundene Smartphone. Wie Yahoo Account Key funktioniert, erfährt  man ausführlich auf der dazugehörigen Hilfeseite von Yahoo.

Yahoo Account Key

Yahoo Account Key (Quelle: Screenshot)

Wir raten jedem Yahoo-User sein Konto auf verdächtige Aktivitäten zu überprüfen und vorsichtshalber alle Sicherheitseinstellungen zu checken.

Generell sollte ungebetenen E-Mails eher misstrauisch gegenübergestanden werden. Keinesfalls darf man in Nachrichten von unbekannten Absendern auf Links oder E-Mail-Anhänge klicken. Die Gefahr einer potentiellen Kompromittierung ist einfach zu groß. Für weitere sicherheitsrelevante Fragen hat Yahoo eine Sicherheits-FAQ-Seite eingerichtet.

Die schlechten Neuigkeiten dürften der geplanten Übernahme durch den Telekom-Konzern Verizon nicht gerade zuträglich sein. Zum zweiten Mal ist Verizon Zuschauer von einem Yahoo Hack. Kann Yahoo seine Sicherheitslücken schnell genug und dauerhaft schließen, damit der Deal noch zustande kommt? – Wir werden es sehen.