Dritter Yahoo-Hack: 32 Millionen Nutzer betroffen

Yahoo kommt aus seinem Hack-Debakel einfach nicht heraus. Neben den beiden „Haupt“-Angriffen, bei denen 1,5 Milliarden Konten betroffen waren, gab es noch einen dritten Hack. Yahoo sprach von „einzelnen“ Konten, die davon betroffen waren – doch damit hat das Unternehmen maßlos untertrieben.

© Todd A. Merport / Shutterstock.com

Wer denkt, dass es mit den 1,5 Milliarden Opfern aus den beiden gewaltigen Angriffen auf Yahoo getan sei, der irrt: Es gab noch einen dritten Hack auf das Unternehmen. Das hatte Yahoo zwar bereits im November erklärt und darauf verwiesen, dass über gefälschte Cookies „einzelne“ Konten gekapert worden seien (auch wir hatten darüber berichtet), doch mit dieser Angabe hat das Unternehmen maßlos untertrieben.

Wie Heise Online berichtet, geht aus dem Jahresbericht an die US-Börsenbehörde SEC hervor, dass tatsächlich 32 Millionen Konten von diesem dritten Hack betroffen waren. „Wir glauben, dass unbefugte Dritte auf [unseren] proprietären Sourcecode zugegriffen haben, um zu lernen, wie Cookies gefälscht werden können“, heißt es demnach in dem Bericht. „Unabhängige Forensiker haben ungefähr 32 Millionen Konten ausgemacht, von denen [die Forensiker] glauben, dass 2015 und 2016 gefälschte Cookies verwendet oder genommen wurden.“

Yahoo hat seinen eigenen Rekord gebrochen

Yahoo glaube zudem, dass der Cookie-Angriff von derselben Stelle ausging wie der Angriff aus dem Jahr 2014, bei dem eine halbe Milliarde Konten kopiert wurden. Damals wurden persönliche Daten wie Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und Passwort-Hashes abgegriffen. Zudem erhielten die Angreifer auch Zugriff auf verschlüsselte und unverschlüsselte Sicherheitsfragen und die zugehörigen Antworten. Yahoo hatte den Angriff, der als größter Hack der IT-Geschichte galt, im September letzten Jahres gebeichtet.

Gebrochen wurde der Rekord des größten Hacks der IT-Geschichte dann im Dezember von Yahoo selbst, als das Unternehmen einen weiteren Hack mit einer Milliarde Opfer mitteilen musste. Das beängstigende bei diesem Hack, der bereits im Jahr 2013 geschehen war: Die abgegriffenen Passwort-Hashes waren mit MD5 behandelt – und das gilt schon lange als geknackt. Nachdem die Hacks bekannt geworden waren, drückte Verizon den Kaufpreis für die Übernahme von Yahoo. Das Unternehmen strich zudem den Bonus für Noch-Chefin Marissa Mayer.

In den USA erwarten Yahoo auch juristische Folgen: Es gibt bereits etwa 43 Sammelklagen betroffener Nutzer gegen das Unternehmen. Zudem liegen auch vier Klagen von Aktionären und eine Aktionärssammelklage vor. Verizon will das Unternehmen zwar noch übernehmen, aber die juristischen Kosten wird Yahoo selbst tragen müssen. Damit will der neue Besitzer nichts zu tun haben.