Geklaute Yahoo-Daten mit Bcrypt gehasht

23. September 2016 um 11:41
  • security
  • cyberangriff
image

Bei einem der grössten Datenklaus überhaupt wurden die Kontoinformationen von mehr als 500 Millionen Nutzern geklaut.

Bei einem der grössten Datenklaus überhaupt wurden die Kontoinformationen von mehr als 500 Millionen Nutzern geklaut. Yahoo hat den Vorfall bestätigt und vermutet eine ausländische Regierung hinter dem Angriff.
Yahoo hat bestätigt, Opfer eines Hacker-Angriffs geworden zu sein. Beim Angriff wurden die Daten von mindestens einer halben Milliarde Nutzer gestohlen. Es handelt sich somit um einen der grössten Datenlecks, das je bekannt wurde.
Vergangenen Monat tauchten Daten von Millionen von Yahoo-Nutzern im Darknet auf. Dem Tech-Portal 'Motherboard' wurde vom "Peace" genannten Hacker damals ein Muster der Datensammlung zur Verfügung gestellt. Darunter waren E-Mail-Adressen, verschlüsselte Passwörter, Geburtsdaten und Backup-E-Mail-Adressen. Viele davon waren nicht mehr gültig. Laut "Peace" stammten diese Daten etwa aus dem Jahr 2012.
Damals hatte Yahoo einen Hacker-Angriff noch nicht bestätigt, riet aber den Nutzern, anstelle von Username und Passwort die sichere Lösung "Yahoo Account Key" zur Anmeldung verwenden. Yahoo sagte zudem, man untersuche den Fall.
Yahoo bestätigt
Nun hat Yahoo bestätigt, dass es einen Hacker-Angriff gegeben hat. Dem Unternehmen zufolge sind die Daten von "mindestens" 500 Millionen Nutzern betroffen. Der Vorfall ereignete sich Ende 2014. Yahoo glaubt, dass es sich um einen "staatlich unterstützten" Angriff gehandelt habe.
Zu den gestohlenen Informationen gehören Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten, Passwörter – die meisten davon gehasht mit der Bcrypt-Technologie. Die Bcrypt-Technologie wird eingesetzt, um Passwörter zu verschlüsseln und so in dieser Form statt in Reintext sicher zu speichern. Hintergrundinformationen zum Hashing-Verfahren gibt es in diesem Artikel von inside-it.ch. schreibt, sind mit Bcrypt verschlüsselte Passwörter, sehr schwer zu knacken.
Teilweise unverschlüsselt waren jedoch die Antworten zu den Sicherheitsfragen, die man zum Zurücksetzen des Passwortes benötigt. Yahoo selbst habe diese deaktiviert. Doch könnten die Angreifer versuchen, die geklauten E-Mail-Adressen bei anderen Plattformen zu testen und die Passwörter zurückzusetzen. Bankkonto- oder Kreditkarten-Informationen waren nicht unter den gestohlenen Daten, so Yahoo weiter.
Yahoo ist bei Weitem nicht allein
"Die Tatsache, dass Yahoo die Datenschutzverletzung als solche bestätigt hat, ist keine grosse Überraschung, der Umfang allerdings schon. Das Traurige an der ganzen Geschichte ist, dass Yahoo ein Unternehmen in einer langen Reihe von weiteren ist, die in Sachen Datenschutzverletzungen die Hosen herunter lassen mussten", so ein Kommentar von Troy Gill, Manager of Security Research bei AppRiver. In den vergangenen Monaten wurde etwa ein Angriff auf Myspace.
Yahoo schreibt zudem, dass die Untersuchung keine Beweise ergeben habe, dass der Angreifer derzeit im Netzwerk von Yahoo ist. Zudem sei auch die Yahoo-Tochter Tumblr nicht betroffen. Auf dem System, von dem die Daten gestohlen wurden, seien keine Tumblr-Daten gespeichert gewesen. (kjo)

Loading

Mehr zum Thema

image

"Wir legen den Schwerpunkt auf die Störung der Bedrohungsakteure"

An den Swiss Cyber Security Days in Bern ging es in den Keynotes nicht nur um Verteidigung, sondern auch um offensive Aktionen. Zum Beispiel durch das FBI.

publiziert am 21.2.2024
image

Wurde Lockbit zerschlagen?

Ermittler haben den Spiess umgedreht. Auf der Darknet-Seite der Ransomware-Bande zeigt ein Timer, wann die Website abgeschaltet werden soll. Ist das schon das Ende von Lockbit?

publiziert am 20.2.2024
image

Millionen-Kopfgeld auch für Chefs der Alphv-Bande

Nach Hive nimmt die US-Regierung eine weitere Ransomware-Bande ins Visier. Sie hatte in der Schweiz unter anderem Bernina attackiert.

publiziert am 19.2.2024
image

Schwachstellen der deutschen E-ID gibt es auch bei Schweizer Lösung

Aufgrund einer Sicherheitslücke kann die deutsche E-ID dazu genutzt werden, um unter fremdem Namen ein Bankkonto zu eröffnen. Nach aktuellem Stand wäre dies auch beim digitalen Pass der Schweiz möglich.

publiziert am 19.2.2024 1