Eine Woche, nachdem der US-Telekomkonzern Verizon verkündete, das Kerngeschäft von Yahoo für knapp fünf Milliarden zu übernehmen, tauchen auf einem Marktplatz im Darknet 200 Millionen Nutzerdaten des E-Mail-Anbieters auf. Für drei Bitcoins, umgerechnet aktuell 1484 Euro, können E-Mails, inklusive Passwörter und Zweit-E-Mail Adressen von Kunden aus der ganzen Welt erworben werden. Unter ihnen befinden sich auch Daten von zwei Yahoo-Konten aus Deutschland.
Angeboten werden sie von dem Pseudonym: peace_of_mind (Peace). Seine Bewertungen aus bisherigen Verkäufen: 100 Prozent positiv.
Hinter dem Hacker „Peace“ scheint mehr zu stecken, als jemand, der wahllos einzelne Nutzerkonten knackt. Über die wahre Identität hinter dem Pseudonym ist nicht viel bekannt, aber dem US-Magazin "Wired" ist es kürzlich gelungen, mit der Person oder der Gruppe hinter „Peace“ ein Interview zu führen. Demnach sei er oder sie Teil einer russischen Hackergruppe gewesen, zuständig für große Technologie-Konzerne.
Nachdem sich die Gruppe aufgelöst hatte, tauchten in den vergangenen Wochen gleich mehrere ungewöhnlich große Datenpakete auf Marktplätzen im Darknet auf. Unter anderem zu 160 Millionen LinkedIn Accounts, 100 Millionen Nutzerdaten der russischen Social-Media-Plattform VK.com und 360 Millionen Login-Informationen von Myspace-Konten.
Das letzte Angebot: Daten von 71 Millionen Twitter-Accounts. Unter den gehackten Konten waren prominente Namen wie Mark Zuckerberg, Twitter-Gründer Ev Williams und Popstars wie Drake und Katie Perry. Nach eigenen Aussagen verdiente „Peace“ mit diesen Leaks rund 65.000 US-Dollar.
In einer kurzen Beschreibung des aktuellen Angebots von Yahoo-Nutzerkonten weist der Hacker selbst darauf hin, dass die Daten vermutlich aus dem Jahr 2012 stammen, und einige Accounts deswegen mittlerweile gelöscht sein könnten. Unter der Anzeige wird eine Auswahl der gehackten E-Mail-Adressen gelistet. Bei einer kleinen Stichprobe konnte die WirtschaftsWoche keine inaktiven Accounts finden. Alle E-Mails wurden zugestellt. Yahoo bestätigte in einer Pressemitteilung, dass das Unternehmen um den potenziellen Leak wisse, wollte die Authentizität der Daten aber nicht bestätigen.
Wie gefährlich die sensiblen Informationen in den falschen Händen sind, sei den wenigsten Kunden bewusst, warnt IT-Sicherheitsexpertin Patricia Tulinska von der PSW-Group. „Heutzutage geben Nutzer fast all ihre persönlichen Daten in ihrem E-Mail-Konto preis“, sagt die Expertin. Da genüge eine Bestellbestätigung von Amazon oder Paypal: „Kriminelle können das Passwort bei jedem Account zurücksetzen lassen und so ungehemmt Schaden anrichten“, so Tulinska.
In seinem Interview mit „Wired“ kündigte Peace an, noch eine Milliarde weiterer Nutzerdaten von verschiedenen Social-Media-Seiten und E-Mail-Anbietern zu veröffentlichen. „Um den Schaden in Grenzen zu halten, sollte man darauf achten, überall unterschiedliche und möglichst komplizierte Passwörter zu verwenden“, rät Tulinska. Hundertprozentigen Schutz gebe es aber nicht. „Es wird immer diesen einen ambitionierten Hacker geben“, sagt die IT-Sicherheitsexpertin. Und überhaupt, der Kunde habe sich schließlich mittlerweile schon an Datenskandale gewöhnt.
