Yahoo Hacker greifen Daten von 500 Millionen Nutzern ab

Eineinhalb Jahre lang ahnte der angeschlagene Internet-Pionier offenbar nichts von dem riesigen Datendiebstahl. Bei einer internen Überprüfung wurde er dann entdeckt. Das FBI ist eingeschaltet.

Yahoo hat nun bestätigt, dass Hacker Daten von mindestens 500 Millionen Nutzern gestohlen haben. Quelle: dpa

Dem US-Internet-Dienstleister Yahoo macht ein massiver Cyberangriff zu schaffen. Hacker hätten schon Ende 2014 persönliche Daten von mindestens 500 Millionen Nutzern abgegriffen, räumte der Konzern ein. Betroffen sind demnach Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten, Passwörter sowie Sicherheitsfragen zur Feststellung der Identität der User. Bisher gebe es aber noch keinen Hinweis darauf, dass auch Kreditkarten- oder Bankkontendaten entwendet worden seien. Dennoch sprachen Experten vom bisher folgenschwersten Cyberdiebstahl bei einem E-Mail-Provider.

Yahoo machte staatlich unterstütze Hacker für den Datenattacke verantwortlich. Einen konkreten Staat nannte das Unternehmen indes nicht. Bei ähnlichen Cyberangriffen in den USA wurden mit dieser Formulierung chinesische und russische Hackergruppen bezeichnet.

Das FBI ist informiert. Die US-Bundespolizei nehme solche Fälle sehr ernst und werde Hergang und Urheber der Hackerangriffe ermitteln, teilte das FBI am Abend (Ortszeit) mit. Nach Angaben von Yahoo sind noch andere Sicherheitsbehörden an der Untersuchung beteiligt.

Die dümmsten Passwörter der Welt
"Dadada"Nein, die Rede ist hier nicht von dem Neue-Deutsche-Welle-Song von Trio, sondern dem Passwort des Facebook-Gründers Mark Zuckerberg in Netzwerken wie Twitter, LinkedIn und Pinterest - zumindest wenn man den Hackern Glauben schenkt, die im Anfang Juni 2016 mehrere seiner Profile gehackt haben. Beim Foto-Dienst Pinterest gelang es den Hackern mithilfe des Passworts, das sie nach eigener Auskunft in den gestohlenen des Karriere-Netzwerks LinkedIn gefunden haben, den Profiltext für kurze Zeit durch den Text „gehackt vom OurMine Team“ zu ersetzen. Bei Twitter gab es eine verdächtige Aktivität auf Zuckerbergs Account mit dem Namen „@finkd“, in dem er seit Januar 2012 nichts mehr veröffentlicht hatte. Und bei Pinterest wurde das angebliche Passwort sogar öffentlich gemacht: "dadada". Damit wählte der Facebook-Entwickler scheinbar nicht nur ein ziemlich simples Passwort (übrigens nicht besser als "12345" oder "password"), sondern benutzte das Passwort gleich für mehrere Profile - ebenfalls absolute No-Gos, die aber immer wieder vorkommen, wie die folgenden Beispiele zeigen. Quelle: Screenshot
Simple Zahlen- oder BuchstabenfolgenSicherheitsforscher des Hasso-Plattner-Instituts (HPI) haben 2015 fast 35 Millionen geraubte Identitätsdaten aufgespürt. Wie die Potsdamer Sicherheitsforscher anhand der gesammelten Daten analysierten, stehen bei den Internetnutzern in aller Welt immer noch Zahlenreihen oder Zeichenfolgen auf der Tastatur (z.B. qwerty auf der amerikanischen Tastatur) an der Spitze der Beliebtheitsskala bei Passwörtern. Gern werden auch Vornamen oder andere simple Begriffe verwendet, etwa das Wort "password". "Unangefochten weltweit auf Platz 1 liegt leider nach wie vor die Zahlenreihe 123456, obwohl automatische Cracker solche simplen Passwörter als erstes und blitzschnell ermitteln", sagte HPI-Direktor Christoph Meinel. Dass Passwörter dieser Art überhaupt nicht sicher sind, ändert nichts an ihrer Beliebtheit: Schon 2014 wurden mehr als 3,3 Millionen Passwörter geknackt, auf dem ersten Platz landet auch da schon "123456". Auch wenn die Länge variiert wird, hilft das nicht: Auf dem dritten und vierten Platz finden sich "12345" und "12345678". "123456789" landet auf Rang sechs, gefolgt von "1234" auf Platz sieben. Auf Rang elf liegt "1234567". Nachfolgend ein Überblick der meistgeknackten Passwörter 2014: Quelle: dpa
Passwort: "Password"Wer sich für ganz schlau hält und einfach "password" als Zugangscode verwendet sei hiermit gewarnt: Die vermeintlich simple und sichere Lösung liegt auf Rang zwei der meistgeknackten Passwörter. Quelle: dpa
FantasiewörterSie denken sich, kein Mensch weiß was "qwerty" ist? Falsch gedacht. Die Buchstabenfolge, die auf einer amerikanischen Tastatur nebeneinander liegt, landet auf Platz fünf. Auf deutschen Tastaturen wäre es übrigens "qwertz". Quelle: REUTERS
Das sportliche PasswortSport-Fans müssen sich etwas besseres einfallen lassen, als nur den Namen ihrer Lieblingssportart: Auf Platz acht der meistgeknackten Passwörter landet "baseball". Quelle: AP
Mystische GestaltenAuch Drachen-Fans gibt es einfach zu viele. Das Passwort "dragon" ist jedenfalls alles andere als originell. Es findet sich auf Rang neun. Quelle: REUTERS
Sport, die zweiteAnhänger des Football sind auch nicht besser dran als Baseball-Freunde: Das Passwort "football" findet sich auf Rang zehn der gehackten Zugangsdaten. Quelle: AP

Warum der Internetpionier so lange brauchte, um dem Datenraub auf die Spur zu kommen, ließ er offen. Auch wie das Leck bei firmeninternen Untersuchungen auffiel, wollte Yahoo mit Verweis auf Sicherheitsgründe nicht sagen. Zum Zeitpunkt des Diebstahls stand der in der Branche geschätzte Manager Alex Stamos an der Spitze des Internetsicherheitsteams. Im vergangenen Jahr verließ er den Konzern für eine ähnliche Aufgabe bei Facebook.

Berichte über einen großangelegten Diebstahl von Daten bei Yahoo hatte es bereits im August gegeben. Die Tech-Webseite Motherboard hatte damals berichtet, dass ein Hacker mit den Namen „Peace“ im Internet die Daten von 200 Millionen Yahoo-Nutzern verkaufen wollte. Das Unternehmen hatte sich aber bis Donnerstag nicht dazu geäußert. Nutzern empfahl Yahoo nun, ihre Passwörter zu ändern, sollten sie das seit 2014 nicht getan haben. Es gebe keinen Hinweis, dass die Hacker nach wie vor im Yahoo-System seien.

Die Enthüllung könnte auch Auswirkungen auf die vor zwei Monaten verkündete Übernahme des Online-Geschäfts von Yahoo durch den US-Telekomkonzern Verizon haben. Diese soll bis Anfang kommenden Jahres abgeschlossen sein und ein Volumen von rund 4,8 Milliarden Dollar haben. Verizon könnte nun theoretisch neue Übernahmebedingungen aushandeln oder sich möglicherweise ganz aus dem Geschäft zurückziehen.

In einer Stellungnahme erklärte der Telekommunikations-Riese, er wisse noch nicht genug über den Angriff auf Yahoo. Im weiteren Verlauf der Untersuchung werde es eine Neubewertung geben, die die Interessen von Verizon, seiner Kunden und seiner Aktionäre berücksichtige, hieß es.

Der Datenraub könnte den ohnehin angeschlagenen Yahoo-Konzern teuer zu stehen kommen. Denn noch nie seien bei einem einzigen E-Mail-Anbieter so viele Konten kompromittiert worden, sagte die Analystin Avivah Litan von der Technologieforschungsfirma Gartner Inc. „Das ist eine schockierende Zahl. Das ist eine ziemlich große Sache, die sie wahrscheinlich Millionen von Dollar kosten wird. Regulierungsbehörden und Anwälte werden ihre Freude daran haben.“

Yahoo hat nach eigenen Angaben monatlich mehr als eine Milliarde Nutzer. Im Juli griffen 161 Millionen Menschen weltweit auf ihren Privatrechnern auf ein E-Mail-Konto des Konzerns zurück – und damit 30 Prozent weniger als im Vorjahreszeitraum 2014, wie aus jüngsten Daten des Forschungsinstituts comScore hervorgeht.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%