Yahoo behebt Bug mit Passworten

Yahoo hat am letzten Freitag veröffentlicht, dass die Sicherheitslücke, dank der über 450.000 unverschlüsselte Passworte gestohlen wurden, gestopft ist. Neben dem Schliessen der Schwachstelle versprach Yahoo, auch schärfere Sicherheitskontrollen eingeführt zu haben und endlich auch alle betroffene Anwender mit gehackten Zugängen zu kontaktieren. Einzelheiten jedoch, wie in die Benutzerkonten eingebrochen wurde, gab Yahoo nicht preis. Immerhin dauerte es bis letzten Donnerstag, dass die Firma in einem Bog überhaupt die Attacke eingestand.

Die Hackergruppe D33Ds erklärte sich für die Einbrüche verantwortlich und beschrieb die Aktion als einfachen SQL-Exploit in Yahoos Service. Die erbeuteten 453.492 E-Mail-Adressen und Passworte veröffentlichte die Gruppe im Internet. Yahoo bestätigte, dass alle gehackte Zugänge zu Anwendern gehören, die sich vor 2010 über das Yahoo Contributor Network registrieren, das ursprünglich unter den Namen Associated Content lief. Letzte Firma wurde 2005 gegründet, in 2010 von Yahoo für mehr als 100 Millionen US-Dollar übernommen und in 2011 zu Yahoo Contributer Network umbenannt. Über diese Plattform können registrierte Anwender große Datenmengen, wie zum Beispiel ihre Fotos oder Videos, teilen und sich je nach Download-Menge bezahlen lassen. Bei der Registrierung für diese Plattform müssen Anwender ihre Yahoo-, Google- oder Facebook-ID angeben. Laut Yahoo wurden all diese Daten in einer nicht weiter-verlinkten Datei gehalten.

Knapp ein Drittel der gestohlen Zugänge enthalten als ID eine Yahoo-E-Mail-Angabe, knapp ein Viertel eine Google-Identifikation und ein weiteres Achtel eine Hotmail-Adresse. Allen Anwendern, die einen Yahoo-Zugang auf die oben genannte Plattform vor 2010 registrierten, sollen dringend ihre Zugangsdaten prüfen und für alle angeführten E-Mailadressen das Passwort ändern, raten Sicherheitsexperten von Rapid-7. Eine nähere Analyse der veröffentlichten Zugänge ergab, dass die Datei 123 Behörden- und 235 Militär-E-Mail-Adressen enthält, wie zum Beispiel vom FBI und DHS (Department of Homeland Security, US-Verfassungsschutz).

Sicherheitsexperten und Datenschützer kritisieren Yahoo, dass die Daten unverschlüsselt gespeichert wurden und letztendlich so einfach zugreifbar waren. Mark Bower, CEO bei Voltage Security, bezeichnet die Vorgehensweise als "grobe Fahrlässigkeit". Auch Rob Rachwald, Direktor bei Imperva, zeigt sich in seinem Blog empört: " Man würde doch annehmen, dass Yahoo etwas aus der Attacke auf Linkedin gelernt hat. Ganz im Gegenteil: Der (sogenannte) Datenschutz ist eine Einladung und Inspiration für alle Hacker weltweit.", klagt Bower.