Hack bei Yahoo – 1 Milliarde Konten betroffen

News

Wie erst jetzt bekannt geworden ist, wurde Yahoo bereits 2013 Opfer einer Cyberattacke, bei der Daten von über 1.000.000.000 (sic(k)!) Nutzerkonten abhandengekommen sind. Damit hat Yahoo seinen eigenen traurigen Rekord aus einem Hack im Jahr 2014, bei dem „nur“ 500.000.000 Nutzer betroffen waren, gebrochen.

Was ist passiert?

Wie Yahoo gestern einräumte, sind im Rahmen eines Sicherheitsvorfalls durch eine unberechtigte Dritte Partei im August 2013 Nutzerdaten von über 1 Mrd. Konten gestohlen worden:

„As we previously disclosed in November, law enforcement provided us with data files that a third party claimed was Yahoo user data. We analyzed this data with the assistance of outside forensic experts and found that it appears to be Yahoo user data. Based on further analysis of this data by the forensic experts, we believe an unauthorized third party, in August 2013, stole data associated with more than one billion user accounts. We have not been able to identify the intrusion associated with this theft.“

Wer die Angreifer waren und vor allem, wie es ihnen gelungen ist, in das System eizugringen und die Daten zu stehlen, ist bislang nicht bekannt. Es ist daher nicht davon auszugehen, dass die Sicherheitslücke nun geschlossen ist.

Welche Daten sind betroffen?

Bei den gestohlenen Daten handelt es sich um Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten, Hashwerte von Passwörtern und z.T. unverschlüsselte Sicherheitsfragen und die dazu gehörigen Antworten. Zahlungsdaten oder Kontoinformationen waren laut Yahoo in dem betroffenen System nicht hinterlegt.

Yahoo hebt in der Information der betroffenen User zwar hervor, dass keine im Klartext gespeicherten Passwörter abhandengekommen sind, teilt aber gleichzeitig mit, dass der veraltete Algorithmus MD5 verwendet wurde. Dieser lässt sich heutzutage jedoch relativ leicht „knacken“. Darüber hinaus könnten die schon im Klartext gestohlenen Antworten auf Sicherheitsfragen zur Umgehung von Passwörtern missbraucht werden.

Wie sollten betroffene Nutzer reagieren?

Yahoo informiert nach eigenen Angaben sämtliche Betroffene via E-Mail, setzt deren Passwörter zurück und deaktiviert die Sicherheitsfragen. Nutzer werden außerdem aufgefordert,

  • ihre Passwörter und Sicherheitsfragen für alle anderen Dienste zu ändern, bei denen identische Zugangsdaten verwendet werden,
  • sämtliche Accounts auf verdächtige Aktivitäten zu überprüfen,
  • stets vorsichtig zu sein, wenn sie auf Webseiten oder durch unangeforderte Mitteilungen nach persönlichen Informationen gefragt werden und
  • nicht auf Links oder Anhänge in verdächtigen E-Mails zu klicken.

Wir raten darüber hinaus, im Rahmen von Passwortänderungen zu beachten, dass unbedingt sichere und für jeden Dienst oder Account unterschiedliche Passwörter verwendet werden. Wie Sie ein starkes Passwort auswählen und wie Sie es sich merken können, erfahren Sie hier.

Welche Auswirkungen hat der Hack für Nutzer?

Die Auswirkungen dieses Vorfalls dürften aktuell nicht ansatzweise absehbar sein. Der Hack liegt bereits drei Jahre zurück. Es ist absolut nicht auszuschließen, dass die erbeuteten Daten in dieser Zeit unbemerkt missbräuchlich verwendet wurden. Die Tatsache, dass viele User dazu neigen, ein (unsicheres) Passwort für sämtliche Accounts zu verwenden, kann das Schadenspotential erheblich erhöhen.

Yahoo schwer angeschlagen

Der jetzt bekannt gewordene Vorfall dürfte den Druck auf den ohnehin angeschlagenen Konzern weiter verschärfen. Erst im September musste Yahoo ein Datenleck einräumen, bei dem 500 Mio. Datensätze betroffen waren. Außerdem steht der Konzern in Verdacht, die Inhalte von E-Mails für US Sicherheitsbehörden auf bestimmte Schlagwörter zu scannen.

Bemerkenswert ist außerdem, dass Yahoo es offenbar trotz allem versäumt hat, effiziente Prozesse zur Erkennung und zur Meldung solcher Vorfälle einzurichten. Der Konzern weiß seit über einem Monat von dem Hack. Gerade im Blick auf die EU-Datenschutzgrundverordnung sollten sich Unternehmen solche Versäumnisse nicht mehr leisten. Ab 2018 bleiben Ihnen für eine entsprechende Meldung lediglich 72 Stunden.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.