Yahoo Hack weit schlimmer als befürchtet

Yahoo wurde 2013 gehackt - soweit nichts neues. Neu ist allerdings, dass Yahho angeblich erst neulich festgestellt hat, dass nicht 'nur' eine Milliarde Accounts betroffen ware, sondern jeder einzelne der 3 Milliarden Yahoo Accounts. In anderen Worten: wer einen Yahoo Account hat, muss damit rechnen, dass seine Zugansdaten nun bekannt geworden sind.

Sowohl Yahoo als auch Flickr betroffen

Da alle Flickr Konten ebenfalls Yahoo Konten sind, sind Flickr Nutzer ebenfalls von dem Hack betroffen. Hinzu kommt noch, dass bei den Konten schon seit langem veraltete Verschlüsselungsmechanisem verwendet wurden, wie etwa md5, das schon lange als geknackt gilt. Leider wurden die Antworten der Sicherheitsfragen, die dazu dienen sollen, ein vergessenes Passwort zurückzusetzen, unverschlüsselt gespeichert, so dass es den Angreifern zusätzlich unnötig leicht gemacht wurde. Die Angreifer können nun mit den erbeuteten Daten komplette (Online-)Identitäten fälschen, da Namen, E-Mail Adressen Telefonnummern und Geburtsdaten gestohlen wurden.

3 mal innerhalb von 4 Jahren gehackt

Verizon, der neue Eigentümer von Yahoo, hatte nach dessen Erwerb eine umfassende Untersuchung der Firma angeordnet - dabei trat zutage, dass Yahoo anscheinend komplett unterwandert war/ist. Schon eine Milliarde Nutzerkonten hören sich gewaltig an, dass nun aber die dreifache Menge betroffen sein soll ist geradezu unglaublich.

Dabei ist Yahoo nicht das erste mal Opfer einer Hackerangriffs geworden. Ende 2014 wurden bereits mehr als 500 Millionen Accounts gestohlen, sowie zwischen 2015 und 2016, wobei ebenfalls ca 32 Millionen Nutzerdaten entwendet worden waren. Das macht Yahoo nun zur zweifelhaften Top3 der größten Hacks aller Zeiten, da es Platz 1 bis 3 belegt.

Staatlich finanzierter Angriff vermutet - russische Spione verhaftet

Dabei wurde vermutet, dass hinter den Angriffen eine staatliche Finanzierung steckt. Tatsächlich wurden in diesem Zusammenhang bereits mehrere offiziere des FSB (russicher Inlandsgeheimdienst) angeklagt. Diese sollen mittels den erbeuteten Daten Zugang zu Konten der Opfer bei anderen Diensten verschafft haben. Im Fokus dieser Machenschaften standen offenbar besonder die Konten von russischen Journalisten und US-amerikanischen Regierungsvertretern. Außerdem sollen durch den Diebstahl diverser Kreditkartennummern die Betroffenen auch finanziell geschädigt worden sein, mindestens einer der Angeklagten soll sich dadurch direkt persönlich bereichert haben, und zusätzlich durch die Nutzung der Daten als Spam und Umleitung der Suchergebnisse Kommissionen erhalten haben.

Fazit zum Yahoo Rekordhack:

Dieser Fall ist einmalig in der Geschichte - 3 Milliarden entwendete Nutzeraccounts, darunter unzählige Kreditkartennummern. Wer ein Yahoo Konto hat, bzw hatte, sollte sich nun informieren und bei Bedarf seine dort eingetragenen Kreditkartendaten ändern bzw sperren lassen. Zusätzlich sollte das Passwort dringend geändert werden.

Die Schuldfrage, die nun im Raum steht, muss wohl zu großen Teilen Yahoo selbst angelastet werden. Eine unverschlüsselte Speicherung von Sicherheitsfragen und deren Antworten ist mehr als fahrlässig, auch die Nutzung von damals bereits unsicheren Verschlüsselungsmethoden ist nicht gerade vorteilhaft. Auf der anderen Seite muss festgestellt werden, dass die Angreifer große Unterstützung von einer staatlichen Agentur hatten. Mit solchen finanziellen Mitteln ist es kein Wunder, dass ganze Systeme geknackt werden konnten.

Quelle:
heise

2017-11-08