Yahoo bestätigte gestern Abend, dass im Jahr 1, also vor langer Zeit, nicht weniger als 2013 Milliarde Konten von Dritten abgerufen wurden. Obwohl Yahoo vor einigen Monaten bestätigte, dass Hacker auf die Daten von 500 Millionen Konten zugegriffen haben, sprechen wir hier nun von einem separaten Hack, der den Zugriff auf die Daten von 1 Milliarde Nutzern ermöglichte.
Die Mitarbeiter von Yahoo wussten von diesem Hack erst letzten Monat, als die amerikanischen Behörden Daten von einem Dritten zur Verfügung stellten, der behauptete, Yahoo-Konten gestohlen zu haben. Dann leiteten die Mitarbeiter von Yahoo mit Hilfe von Forensikern die Untersuchung ein und stellten fest, dass auf 1 Milliarde Konten zugegriffen und von einigen davon Daten gestohlen wurden.
Yahoo gibt an, bisher entdeckt zu haben, dass Hacker E-Mail-Adressen, Telefonnummern, Informationen zu Geburtsdaten, verschlüsselte Passwörter und Sicherheitsfragen gestohlen haben. In einigen Fällen wurden diese Sicherheitsfragen verschlüsselt, in anderen Fällen wurden sie nicht verschlüsselt, sodass sie jederzeit von Hackern ausgenutzt werden können.
Yahoo – 1 Milliarde Konten gehackt
Der interessanteste Teil dieser Enthüllung liegt in der Tatsache, dass Yahoo nicht herausgefunden hat, wie die Hacker Zugang zu seinen Systemen erlangten, auf denen sie gespeichert wurden. Nach dieser Vorstellung hat Yahoo kaum Möglichkeiten, sich vor einem ähnlichen Angriff zu schützen, den Hacker gegen das Unternehmen starten könnten, um andere Benutzerdaten abzurufen.
„Getrennt davon haben wir zuvor offengelegt, dass unsere externen forensischen Experten die Erstellung gefälschter Cookies untersuchen, die es einem Eindringling ermöglichen könnten, ohne Passwort auf Benutzerkonten zuzugreifen. Aufgrund der laufenden Untersuchung gehen wir davon aus, dass ein unbefugter Dritter auf unseren proprietären Code zugegriffen hat, um zu erfahren, wie man Cookies fälscht. Die externen forensischen Experten haben Benutzerkonten identifiziert, bei denen ihrer Meinung nach gefälschte Cookies erfasst oder verwendet wurden. Wir benachrichtigen die betroffenen Kontoinhaber und haben die gefälschten Cookies ungültig gemacht. Wir haben einige dieser Aktivitäten mit demselben staatlich geförderten Akteur in Verbindung gebracht, der vermutlich für den Datendiebstahl verantwortlich ist, den das Unternehmen am 22. September 2016 offengelegt hat.“
Das Tüpfelchen auf dem i kommt erst jetzt, da Yahoo bestätigt hat, dass einige Hacker Cookies gefälscht haben, um auf die Konten bestimmter Benutzer zuzugreifen, ohne Passwörter zu verwenden. Grundsätzlich verfügt Yahoo nicht über die Möglichkeit, die Konten seiner Benutzer zu schützen. Sie sind selbst dann gefährdet, wenn sie über ein sicheres Passwort verfügen, da Hacker auch ohne sie auf die Konten zugreifen können.
Wir sprechen hier vom wahrscheinlich größten Hack in der Geschichte des Internets, und die Mitarbeiter von Yahoo werden die Auswirkungen durch einen massiven Rückgang der Zahl der Menschen, die ihre Dienste nutzen, spüren.
