Yahoo muss erneut Massenhack beichten: Eine Milliarde Opfer

Ende 2014 wurden bei Yahoo Daten von über 500 Millionen Usern abgegriffen. Das hatte Yahoo im September gebeichtet. Am Mittwoch musste der Konzern eingestehen, dass bereits im August 2013 die Daten von mehr als einer Milliarden Yahoo-Konten in falsche Hände gelangt sind. Kein bislang bekannt gewordener Hack hatte auch nur annähernd so viele Opfer.

Den Skandal aufgedeckt hat nicht Yahoo selbst, sondern eine nicht näher bezeichnete Polizei. Sie hat im November Dateien mit den Yahoo-Kontodaten überreicht, wie den FAQ Yahoos zu entnehmen ist. Leider weiß Yahoo nicht, wie die Täter eingedrungen sind. “Die Firma war nicht in der Lage, das in Verbindung mit diesem Diebstahl stehende Eindringen zu identifizieren”, heißt es in einer Mitteilung, “Yahoo glaubt, dass dieser Vorfall wahrscheinlich unabhängig von jenem Vorfall ist, der am 22. September veröffentlicht wurde.”

Bis zuletzt gezielte Angriffe auf einzelne User

Das war der Rekordhack vom Dezember 2014 gewesen, für den Yahoo “staatlich finanzierte Akteure” verantwortlich macht. Die gleichen Täter sollen aber noch 2015 und sogar dieses Jahr tätig gewesen sein. Dabei haben sie aber, soweit bekannt, nicht ganze Datenbanken kopiert, sondern sich direkt Zugang zu Konten verschafft. Das haben sie den Angaben zu Folge mit gefälschten Cookies geschafft.

“Auf Grundlage der noch andauernden Untersuchung glaubt das Unternehmen, dass unbefugte Dritte auf proprietären Sourcecode des Unternehmens zugegriffen haben, um das Fälschen von Cookies zu lernen”, schreibt Yahoo. Offenbar war Yahoos Zugriffskontrollsystem so ausgelegt, dass der für den Kontozugang notwendige Cookie-Inhalt vorausberechenbar war. Mit den entsprechend gestalteten Cookies war dann keine Passworteingabe mehr erforderlich. Eine kurze Information über diese Sicherheitslücke hatte Yahoo im jüngsten Quartalsbericht versteckt.

Wieviele Opfer von diesen gezielten Attacken betroffen sind, sagt Yahoo nicht. Die Opfer beider Angriffsarten sollen nun informiert werden, Die Mitteilungen werden nicht zum Klicken von Links oder öffnen von Anhängen auffordern. Die gefälschten Cookies seien inzwischen für ungültig erklärt worden, heißt es in den FAQ. Ob das eine grundlegende Änderung des Zugriffskontrollsystems bedeutet, oder nur eine neue Formel zur Berechnung der Cookiewerte eingesetzt wird, geht daraus nicht hervor.

Quelle: heise.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.