Der Online-Riese Yahoo musste in den USA einen Daten-Klau ungewöhnlichen Ausmaßes beichten: Die Daten von rund 500 Millionen Yahoo-Nutzern sind geklaut worden. Passiert ist das bereits Ende 2014, doch erst jetzt wurde der Fall bekannt.
Das Ausmaß des Hack-Angriffs sagen
Yahoo wurden die Daten von rund einer halbe Milliarde User geklaut: eMail-Adresse, Passwort (nicht im Klartext, verschlüsselt), Geburts-Datum, Adresse, Telefon-Nummer sowie Sicherheits-Fragen und Antworten darauf für das Zurücksetzen des Passworts. Nicht entwendet wurde, nach Angaben des Konzernz, Kredit-Karten- und andere Zahl-Daten.
500 Millionen Datensätze, das ist eine bisher nicht dagewesene Dimension. Yahoo selbst vermutet dahinter einen „Angreifer mit staatlichem Hintergrund“. Man ist offensichtlich der Ansicht, dass derart geschickt und erfolgreich nur extrem gut präparierte Hacker vorgehen können, eben mit staatlicher Hilfe. Es wurde nicht gesagt, aber gemeint sind damit in der Regel China und Russland.
Wieso hat es so lange gedauert?
Ein Hacker namens „Peace“ hat im Internet die Daten von 200 Millionen Yahoo-Kunden zum Kauf angeboten. Offenbar hat man danach noch mal genauer recherchiert und ist auf Unregelmäßigkeiten gestoßen, die Ende 2014 festgestellt wurden. Anschließend konnte man das komplette Ausmaß des Hackangriffs ermitteln.
Yahoo hat die Behörden eingeschaltet, damit die Strafverfolgung eingeleitet werden kann. Es ist nicht ungewöhnlich, dass Hacker nicht direkt oder auch gar nicht entdeckt werden, sie versuchen schließlich, keinerlei Spuren zu hinterlassen. Wenn das gut gelingt, kann es passieren, dass solche Einbrüche unentdeckt bleiben – bis man auf Hinweise stößt, die dazu führen, dass genauer hingeschaut wird. Auch Dropbox musste kürzlich einen Hackangriff melden,
Was kann jetzt passieren?
Da die Passwörter verschlüsselt gespeichert sind, wäre es aufwändig, sie zu knacken. Es wurde ein Verschlüsselungsverfahren namens MD5 verwendet. Das gilt heutzutage als überholt, man kann solche Passwörter mit einigem Aufwand entschlüsseln, allerdings gelingt das eher bei simplen Passwörtern. Doch den Hackern sind ja noch mehr Daten in die Hände gefallen.
Wer Namen, E-Mail-Adressen und Geburtsdaten hat, kann gezielte Phishing-Attacken probieren – und so Passwörter ausspionieren, auf gefälschten Webseiten. Außerdem sind den Hackern auch noch Sicherheitsfragen samt Antworten in die Hände geraten. Hat man in anderen Onlinediensten dieselben Sicherheitsfragen hinterlegt und beantwortet, könnten Hacker dort die Konten zurücksetzen und so Zugriff erlangen.
Was sollte man jetzt unternehmen?
Wer Yahoo-Benutzer ist, egal ob Yahoo Mail, tumble oder flickr, der sollte dringend sein Passwort erneuern. Nicht nur bei Yahoo und den Yahoo-Diensten, sondern auch bei allen anderen Onlinediensten, wenn er dort dieselbe Kombination aus Benutzername und Passwort verwendet. Soll man ja nicht, machen aber viele – aus Bequemlichkeit.
Man sollte mal darüber nachdenken, bessere Methoden zu verwenden, vor allem die sogenannte Zwei Faktor Authentifizierung. Da kommt dann auch noch das eigene Smartphone zum Einsatz, in dem ein Code generiert wird, den man neben dem Passwort zusätzlich eingeben muss. Das bietetn mittlerweile alle großen Onlinedienste an, ob Apple, Microsoft, Dropbox, Twitter, Facebook, Yahoo und Co. Das macht nur ein bisschen mehr Aufwand beim Login, bedeutet aber deutlich mehr Sicherheit. Fallen einem Hacker die Zugangsdaten in die Hände, kann man sich entspannen, denn es bringt ihm nichts.
Haben sich Benutzer-Name und Passwort als untauglich erwiesen?
Definitiv. Es wird an Alternativen gearbeitet, vor allem mit biometrischen Verfahren, also Fingerabdruck, Iris-Scanner, Gesichtserkennung etc. Solche Systeme haben auch ihre Tücken, entwickeln sich aber allmählich. Am wahrscheinlichsten sind Kombinationen aus verschiedenen Systemen, also Biometrie plus Nutzerkennung oder Nutzerkennung plus Codegenerator etc.