Yahoo-Datenklau: Sorry, wir haben ein bisschen untertrieben

Ähm, uns wurden Daten von allen drei Milliarden Usern geklaut, nicht nur von einer Milliarde. Aber es war ja eh nicht so schlimm, oder?
 
Yahoo, beziehungsweise Verizon, die neue Mutterfirma des Internetkonzerns, hat an in einer Eingabe an die US-Börsenaufsicht SEC eine Bombe platzen lassen.
 
Yahoo hatte Ende 2016 erstmals eingeräumt, dass Angreifer im August 2013 an Daten von über einer Milliarde Nutzer herangekommen sind. Nun schreibt Yahoo, dass man nach der Übernahme durch Verizon und einer Untersuchung durch aussenstehende Experten zu neuen Erkenntnissen gelangt sei. Man glaube nun, dass schlicht alle damals vorhandenen Userkonten – rund drei Milliarden – betroffen waren.
 
Obwohl es sich "nicht um ein neues Sicherheitsproblem" handle, wolle man nun alle zusätzlich betroffenen User auch noch per E-Mail warnen. Ausserdem glaube man, dass weder Kreditkarten- noch Bankkonteninformationen und auch keine Passwörter im Klartext geklaut worden seien.
 
Die gestohlenen Daten beinhalteten, wie Yahoo Ende des letzten Jahres erklärte, Namen, E-Mail-Adressen, Geburtsdaten und durch Hashing verschlüsselte Passwörter. Allerdings verwendete der Internetriese damals noch den seit vielen Jahren als unsicher erkannten Algorithmus MD5 um seine Passwörter zu verschlüsseln. Manche Sicherheitsexperten sagen, dass es für Hacker heutzutage nur noch wenig Unterschied mache, ob geklaute Passwörter im Klartext vorliegen oder ob sie mit MD5 gehasht wurden. Yahoo selbst hatte im Sommer 2013 damit begonnen, auf den sichereren Algorithmus Bcrypt umzustellen.
 
Zu den gestohlenen Daten gehören, wiederum laut Yahoo selbst, auch teilweise "verschlüsselte oder unverschlüsselte" Sicherheitsfragen und -Antworten. Mit diesen lassen sich Passwörter zurückstellen beziehungsweise ändern, auch wenn man sie nicht kennt. Und wie Passwörter selbst verwenden User oft auch die gleichen Fragen und Antworten für mehrere Services.
 
Yahoo hatte übrigen schon im September 2016 einen Datenverlust bekannt gegeben, der sich Ende 2014 ereignet haben soll. Damals wurden Daten von rund 500 Millionen Nutzern gestohlen. Die dazugehörigen Passwörter waren aber bereits mit Bcrypt gesichert. (Hans Jörg Maron)