Bereits Anfang des Jahres kamen Berichte auf, wonach es einen großflächig angelegten Hacker-Angriff auf den Internetdienst Yahoo gegeben habe, den dieser seinerzeit auch bestätigte. Allerdings forderte Yahoo seine User damals nicht auf, die Passwörter der Nutzerkonten zu ändern. Dies dürfte sich in Kürze ändern. So wird inzwischen eine angeblich bei dem damaligen Angriff erbeutete Datenbank mit mehr als 200 Millionen Yahoo-Konten aus dem Jahr 2012 im Darknet für gerade einmal knappe 1.800,- US-Dollar zum Kauf angeboten, wie die Kollegen von re/code berichten. Verantwortlich sein soll dafür derselbe Hacker, der auch schon erfolgreich die Internetdienste LinkedIn und Myspace angegriffen hatte. Diese Datenbank enthält neben dem Klar- und dem Benutzernamen auch die Geburtsdaten und E-Mail-Adressen der Nutzer. Kritisch ist jedoch vor allem, dass darin auch die damals noch mit dem verhältnismäßig unsicheren MD5-Hash gesicherten Kennwörter enthalten sind, die heutzutage, je nach Stärke des verwendeten Passworts, verhältnismäßig leicht zu entschlüsseln sind.
Wie immer gilt, dass es durchaus sinnvol ist, bereits frühzeitig Gegenmaßnahmen zu treffen. So sollte dringend das verwendete Passwort eines Yahoo-Kontos geändert werden. Hat man dieses auch für andere Dienste verwendet, gilt dort dasselbe. Zu den betroffenen Yahoo-Diensten zählen unter anderem das Mail- und Messenger-Angebot, aber auch die Konten des zu Yahoo gehörenden Fotonetzwerks Flickr. Nicht betroffen ist hingegen das inzwischen ebenfalls zu Yahoo gehörende Blog-Netzwerk Tumblr, welches erst 2013 zum Konzern gestoßen ist. Yahoo bietet inzwischen ebenfalls die als sicher geltende Zwei-Faktor-Anmeldung an, bei der der Zugriff auf den Dienst erst nach Eingabe eines per SMS zugesandten Codes möglich ist. Zudem können inzwischen auch Yahoos iOS-Apps für die Authentifizierung eines Yahoo-Kontos genutzt werden.
UPDATE: Inzwischen hat Yahoo den Angriff in der Tat offiziell bestätigt. Dabei kam heraus, dass das Ausmaß noch viel schlimmer ist, als zunächst angenommen. So sind mindestens 500 Millionen Yahoo-Konten von einem Angriff im Jahr 2014 betroffen, bei dem Namen, E-Mail Adressen, Telefonnumern, Geburtstage, verschlüsselte Passwörter, sowie verschlüsselte und unverschlüsselte Sicherheitsfragen und die zugehörigen Antworten. Zum aktuellen Zeitpunkt geht Yahoo nicht davon aus, dass unverschlüsselte Passwörter, Kreditkartendaten oder Bankinformationen betroffen sind.
Yahoo wird in Kürze alle betroffenen Nutzer informieren und sie zu entsprechenden Schritten auffordern. Sollte das Passwort des Accounts seit 2014 nicht geändert worden sein, sollte man dies als erstes tun. Sämtliche kompromittierten Sicherheitsfragen und -antworten wurden inzwischen von Yahoo ungültig gemacht. Zudem gab man die folgenden Anweisungen aus.
- Change your password and security questions and answers for any other accounts on which you used the same or similar information used for your Yahoo account.
- Review your accounts for suspicious activity.
- Be cautious of any unsolicited communications that ask for your personal information or refer you to a web page asking for personal information.
- Avoid clicking on links or downloading attachments from suspicious emails.
- Additionally, please consider using Yahoo Account Key, a simple authentication tool that eliminates the need to use a password altogether.
Es gelten also weiterhin die weiter oben im Artikel gemachten Tippszur Umstellung der Yahoo-Sicherheit auf die Zwei-Faktor-Anmeldung an, bei der der Zugriff auf den Dienst erst nach Eingabe eines per SMS zugesandten Codes möglich ist. Zudem können inzwischen auch Yahoos iOS-Apps für die Authentifizierung eines Yahoo-Kontos genutzt werden ("Yahoo Account Key").