Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Yahoo wurde gehackt - mehr als 200 Millionen Zugangsdaten erbeutet

Schon zu Jahresbeginn musste Yahoo einräumen, dass es während der Weihnachtszeit erfolgreiche Hackangriffe unbekannten Ausmaßes gegeben hat. Im August wurde dann bekannt, dass Hacker bereits seit einigen Monaten im Internet mit mehr als 200 Millionen Yahoo-Konten von 2012 handeln. Yahoo selbst wollte bislang lediglich interne Untersuchungen bestätigen - offenbar, um nicht die Übernahme durch Verizon zu gefährden. Doch laut involvierten Kreisen wird Yahoo noch in dieser Woche den erfolgreichen Hackangriff offiziell einräumen.


Problematisch ist insbesondere, dass neben Namen, Pseudonymen, Geburtsdaten und E-Mail-Adressen auch die Kennwörter bekannt sind. Sie waren nur durch den unsicheren MD5-Hash geschützt, womit sie sich über leistungsfähige Prozessoren sehr leicht ermitteln lassen. Erbeutet wurden die Daten von einem Hacker namens "Peace" der auch für erfolgreiche Angriffe auf LinkedIn und Myspace verantwortlich ist. Er soll Berichten zufolge die Zugangsdaten im Darknet (Tor-Netzwerk) für ungefähr 2.000 US-Dollar (3 Bitcoins) verkaufen.

Gegenmaßnahmen ergreifen
Nutzer können auch ohne Bestätigung durch Yahoo bereits auf den Hackangriff reagieren. Empfehlenswert ist die Änderung des Kennworts bei allen Diensten, bei denen das Kennwort verwendet wurde. Betroffen sind neben Yahoo-Diensten wie Mail oder Messenger beispielsweise auch die meisten Flickr-Konten. Das Blog-Netzwerk Tumblr ist vom Angriff hingegen nicht betroffen, da es erst 2013 von Yahoo übernommen wurde. Neben der Passwortänderung empfiehlt sich auch die Aktivierung der Zwei-Faktor-Anmeldung, wodurch mit einem zugesandten SMS-Code auf dem Smartphone zukünftig immer bestätigt werden muss, dass die Anmeldung mit dem Yahoo-Konto erwünscht ist.
Kuo: Release der Apple Watch Ultra 3 und SE 3 im nächsten Jahr
Kuo: Release der Apple Watch Ultra 3 und SE 3 i...
Sonos-Qualitätsmisere: Viele Maßnahmen, damit "alles besser wird"
Sonos-Qualitätsmisere: Viele Maßnahmen, damit "...
Musikbranche verklagt KI-Anbieter
Musikbranche verklagt KI-Anbieter
Vor 30 Jahren: Apple holt Sanierer – kann das sinkende Schiff noch gerettet werden?
Vor 30 Jahren: Apple holt Sanierer – kann das s...
Apple Event
Apple Event
Kopfhörer für Workout
Kopfhörer für Workout
iPhone 16 Pro: Erfahrungen
iPhone 16 Pro: Erfahrungen
Beddit ist Geschichte, Apple entfernt Apps
Beddit ist Geschichte, Apple entfernt Apps

Kommentare

subjore22.09.16 14:54
Aber man sollte nur sein Yahoo Passwort ändern, falls man es seit 2012 nicht mehr geändert hat oder? Die Datensätze sind doch so alt?
0
sb22.09.16 15:13
subjore
Ja, momentan sieht es so aus, als ob nur Datensätze von 2012 betroffen sind. Es kann aber sein, dass Yahoo das Alter betroffener Datensätze in der offiziellen Stellungnahme noch korrigiert.
🎐 Sie werden häuslichen Frieden, finanzielle Sicherheit und gute Gesundheit genießen.
0
diekroete22.09.16 15:15
Es hört sich in dem Artikel beiläufig so an, als sei das Darknet und das Tor-Netzwerk dasselbe.. dem ist aber mit Sicherheit nicht so, das Darknet ist allerdings über das Tor-Netzwerk zu erreichen (richtig so ausgedrückt?? war noch nie dort unterwegs). - Bruce Schneier ist dem Board/Vorstand des Tor-Projects beigetreten, ich würde jetzt erst einmal davon ausgehen, dass der nichts mit dem Darknet zu tun hat.
0
Ties-Malte
Ties-Malte22.09.16 15:16
„Es scheint zumindest möglich, dass die Angelegenheit derzeit gezielt aufgebauscht wird, um die derzeit laufende Übernahme von Yahoo durch den Mobilfunkbetreiber Verizon zu beeinflussen. Der Datenbestand scheint definitiv schon älter und die Tatsache, dass Yahoo bislang keine Nutzer dazu aufgefordert hat, ihre Anmeldedaten zu ändern, verwundert im Zusammenhang mit der vermeintlichen Brisanz.“
( )

Regelmäßig seine PWs zu ändern sollte aber ja eh zur gewohnten Routine gehören.
The early bird catches the worm, but the second mouse gets the cheese.
0
coffee
coffee22.09.16 16:29
subjore
Aber man sollte nur sein Yahoo Passwort ändern, falls man es seit 2012 nicht mehr geändert hat oder? Die Datensätze sind doch so alt?

Passwort ändern kann bekanntlich nie schaden. Ich frage nicht länger, hab's getan und fertig!
Simplicity is the ultimate Sophistication (Steve Jobs)
0
Deichkind22.09.16 16:31
Das Blog-Netzwerk Tumblr ist vom Angriff hingegen nicht betroffen, da es erst 2013 von Yahoo übernommen wurde.
Tumblr wurde aber auch schon gehackt -- 2013.
0
sffan22.09.16 17:08
Da dürfte jede Menge "tote Briefkästen" dabei sein..
Ich hab meinen yahoo-Account vor über zwei Jahren beerdigt...
RIP
0
Klaus Major22.09.16 18:46
YAHOO gibt es noch?
Bitte betrachten Sie mich als extrem erstaunt!
0
sierkb22.09.16 20:57
Yahoo! Inc. (22.09.2016): An Important Message About Yahoo User Security

Yahoo! Inc.: Investor Relations: Press Release (22.09.2016) An Important Message to Yahoo Users on Security ,
0
sierkb22.09.16 21:20
The New York Times (22.09.2016): Yahoo Says Hackers Stole Data on 500 Million Users in 2014
SAN FRANCISCO — Yahoo announced Thursday that the account information of least 500 million users was stolen by hackers two years ago.

In a statement, Yahoo said user information — including names, email addresses, telephone numbers, birth dates, passwords, and in some cases security questions — was compromised in 2014 by what it believed was a “state-sponsored actor.” It did not name the country involved.

The company said it was working with law enforcement officials. It encouraged users to review their online accounts for suspicious activity and to watch out for suspicious emails.

The announcement comes as Verizon Communications moves forward with its $4.8 billion acquisition of Yahoo. It is unclear what effect the breach, if any, will have on Yahoo’s sale price. That will most likely depend on what Verizon learns about Yahoo’s security controls. But security experts say the incident could have far-reaching consequences for users beyond Yahoo’s services.

“The stolen Yahoo data is critical because it not only leads to a single system but to users’ connections to their banks, social media profiles, other financial services and users’ friends and family,” said Alex Holden, the founder of Hold Security, which has been tracking the flow of stolen Yahoo credentials on the underground web. “This is one of the biggest breaches of people’s privacy and very far reaching.”

ZDNet (22.09.2016): 500 million Yahoo users hacked: How to protect yourself
The odds are excellent that your Yahoo account is now open for attack to the highest bidder.
Yahoo has revealed that at least 500 million of its users accounts have been hacked. That's more victims than in any other hack in history. Odds are you're a victim. Here's what you must do to protect yourself.
0
coffee
coffee22.09.16 21:33
500 Millionen von vermutlich staatlicher Seite geklaute Account Daten. Und ausgerechnet meinen wollen die herausfiltern? Da muss ich zumindest schmunzeln.
Dabei ist coffee doch nur mein Nickname...
Simplicity is the ultimate Sophistication (Steve Jobs)
0
Lerchenzunge22.09.16 23:44
coffee
subjore
Aber man sollte nur sein Yahoo Passwort ändern, falls man es seit 2012 nicht mehr geändert hat oder? Die Datensätze sind doch so alt?
Passwort ändern kann bekanntlich nie schaden. Ich frage nicht länger, hab's getan und fertig!

Hehehe, ich hab vor einigen Tagen eine Mail von Yahoo bekommen, ich möge doch mein Passwort ändern - hab das als Spam eingeordnet (ggfs. Phishing-Versuch) und die Mail gelöscht.

Jetzt wird ein Schuh daraus. Hab mich schon gewundert, warum mich Yahoo daran erinnern sollte - und 'zufällig' wurde da kein Hack erwähnt.

Was für eine Dumpfbacken-Bande!
0
Lerchenzunge22.09.16 23:48
sffan
Da dürfte jede Menge "tote Briefkästen" dabei sein..
Ich hab meinen yahoo-Account vor über zwei Jahren beerdigt...
RIP


Kleiner Hinweis - weil das, je na Inhalt des Accounts und den Mails, die da eintrudeln, durchaus für Überraschungen sorgen kann: Dir ist bekannt, dass nach sechs Monaten die Mailadresse freigegeben, und von jemand anderem genutzt werden kann?

Deine damaligen Mails sind dann zwar gelöscht - aber wenn Du Deiner Bank oder einer Behörde diese Mail Adresse genannt hast, und die Dich regelmäßig anschreiben, landen die beim 'Nachfolger' und damit in der Mailbox des neuen Besitzers.

Das kann unangenehme Verwicklungen geben, wenn der dann Deinen Namen und Adresse etc. bei Beate Uhse abfragt.
0
Lerchenzunge22.09.16 23:59
coffee
500 Millionen von vermutlich staatlicher Seite geklaute Account Daten. Und ausgerechnet meinen wollen die herausfiltern? Da muss ich zumindest schmunzeln.
Dabei ist coffee doch nur mein Nickname...

Wie, Du heißt nicht Coffee Haag? Nun bin ich aber enttäuscht.

Selbst wenn ein Großteil dieser Accounts 'tot' sein sollte, sprich von den alten Besitzern nicht mehr genutzt, aber nicht gelöscht wurde, muss man nur mal reinschauen, und wenn der Besitzer auch nur einem Absender seinen Klarnamen genannt hat, und der eine Mail zurückschickt, mit dem Namen in der Ansprache, dann weiß der Hacker, wem der Account gehört hat.

Oder, noch einfacher, wenn man sich selber mal Mails auf den echten Account weitergeleitet hat. Mehrere Mails as Weiterleitung OHNE erklärende Worte, warum sie weitergeleitet wurde - große Wahrscheinlichkeit, dass der Empfänger und Absender identisch sind.

Und mit diesem Wissen kann er spielen - Vorname.Nachname@xyz-Domain.com und das selbe Passwort ausprobieren. Dürfte viele Türen öffnen.

Die Trägheit der Masse in Verbindung mit der Bequemlichkeit mehr als ein Passwort zu verwenden, ermöglicht unlauteren Gesellen ein leichtes Spiel.

Und, wie erwähnt, einen Account zu deaktivieren bedeutet nicht, dass die Mailadresse nie mehr genutzt werden kann. Viele, wie Microsoft auf outlook.com schmeißen ungenutzte Accounts nach sechs Monaten raus - und nach weiteren sechs (bin nicht ganz sicher) Monaten sind die E-Mail Adressen wieder verfügbar.

Nebst allen Nachteilen.

So eine Adressauflösung will gut vorbereitet sein - längere Zeit schauen, ob ein wichtiger Kontakt einem Mails schickt, Rundmail an die Kontakte, dass die Mailadresse nicht mehr genutzt wird - und dann, nach längerer Zeit, endgültig löschen.

Wie gesagt: auch aus Werbe Mails kann man viel herausfinden, und wenn auch nur eine darunter ist, die man mal 'ernsthaft' genutzt hat, ist man schon angemeiert.

Kompliziertes Thema.
0
coffee
coffee23.09.16 08:38
Lerchenzunge
Die Trägheit der Masse in Verbindung mit der Bequemlichkeit mehr als ein Passwort zu verwenden, ermöglicht unlauteren Gesellen ein leichtes Spiel.
Du hast wohl das Wort "nicht" vergessen. Es muss doch heißen: ...in Verbindung mit der Bequemlichkeit, NICHT mehr als ein Passwort zu verwenden...
Eben aus diesem Grund verwende ich keines meiner - gefühlt - ca. 150 Passwörter bei mehr als einem Account.
Gruß
coffee Haag
Simplicity is the ultimate Sophistication (Steve Jobs)
0
Lerchenzunge23.09.16 10:45
coffee
...
Du hast wohl das Wort "nicht" vergessen. Es muss doch heißen: ...in Verbindung mit der Bequemlichkeit, NICHT mehr als ein Passwort zu verwenden...
Eben aus diesem Grund verwende ich keines meiner - gefühlt - ca. 150 Passwörter bei mehr als einem Account.
Gruß
coffee Haag

Stimmt! Hier, ich reiche es nach:

... nicht ...

Du musst nur gut auf die Liste aufpassen, in der Du die Mail Adresse, das jeweilige Passwort, das Geburtsdatum und die Sicherheitsabfragen zum zurücksetzen pflegst.

Tipp: sich die Liste an alle eigenen Mail Accounts zu schicken ist, damit sie nicht verloren geht, oder eben bei Bedarf ständig verfügbar ist ... nicht ... eine gute Idee!
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.