Werbung
Wann genau Yahoo zum letzten Mal für positive Schlagzeilen gesorgt, dürften spontan vermutlich nur eingefleischte Fans des Unternehmens wissen. Daran wird sich mit hoher Wahrscheinlichkeit so schnell auch nichts ändern. Denn in der Nacht musste der einstige Internet-Gigant erneut einen Hack-Angriff vermelden. Angesichts dessen Umständen wirkt die im September mitgeteilte Attacke regelrecht harmlos. Dabei war die schon ein herber Schlag für das Vertrauen in das Unternehmen.
Denn nicht nur, dass vom letzten Angriff mehr als 500 Millionen Nutzerkonten betroffen waren, zwischen Angriff und Meldung seitens Yahoo vergingen mehr als eineinhalb Jahre. Zugriff sollen die Angreifer unter anderem auf Email-Adressen, Telefonnummern, Geburtsdaten und Passwort-Hashes gehabt haben. Vermutet wird von Yahoo bis heute, dass es sich dabei um eine von einem nicht genannten Staat unterstützte Aktion gehandelt habe.
Relevante Daten waren nicht verschlüsselt
Wer hinter der nun bekanntgegebenen Attacke steckt, scheint man noch nicht wissen. Dabei fand dieses bereits 2013 und somit vor etwa drei Jahren statt. Noch schlimmer als das sehr späte Mitteilen: Betroffen waren nach eigenen Angaben rund eine Milliarde Nutzerkonten. Fest steht laut Yahoo, dass der illegale Zugriff erneut auf Email-Adressen, Geburtsdaten, Telefonnummern und Passwort-Hashes stattfand, allerdings auch auf die von den Nutzern eingerichteten Sicherheitsfragen und -antworten. Letztere sollen zudem unverschlüsselt gespeichert gewesen sein.
Alle Betroffenen sollen informiert werden und müssen laut Yahoo ihr Passwort sowie die Sicherheitsfragen und -antworten ändern. Das gilt aber nicht nur für diejenigen, die einen sogenannten Yahoo-gebrandeten Dienst wie Yahoo Mail, Yahoo Finance oder Yahoo Answers nutzen. Denn auch für die nicht gebrandeten Angebote wie Flickr oder Tumblr konnte der Yahoo-Account verwendet werden.
Wie die noch unbekannten Täter Zugang zum System erhalten haben, ist laut Yahoo noch nicht geklärt. Was auch daran liegen kann, dass das Unternehmen der Attacke nicht einmal selbst auf die Spur gekommen ist. Stattdessen sei man im November von einer Strafverfolgungsbehörde kontaktiert worden. Diese hätte von Dritten Daten erhalten, die man dem Unternehmen zuordnen konnte. Dass der Angriff von 2014 mit dem nun eingestandenen zusammenhänge, glaubt Yahoo nicht.
Zugangs-Cookie konnte unbemerkt gefälscht werden
Zusätzlich räumt man nun ein, dass es in diesem und im vergangenen Jahr ebenfalls Attacken gegeben habe. Dabei sei es den Angreifern aber vermutlich nicht um einen Zugriff auf komplette Datenbanken gegangen. Denn es wurden ganz gezielt nur Konten einiger Nutzer als Ziel gewählt, ausgenutzt wurde dabei eine eklatante Sicherheitslücke. Denn Yahoo erlaubt das automatische Einloggen ohne Eingabe der Zugangsdaten, wenn ein entsprechender Cookie vorhanden ist. Der ist allerdings so ausgelegt, dass der benötigte Inhalt vorausberechnet und der Cookie somit gefälscht werden kann.
Dafür sei es zwar nötig, Wissen über Yahoo-eigene Software zu haben, auf genau solche sollen Angreifer vermutlich aber bereits vor einiger Zeit Zugriff gehabt haben.