Nachdem der Online-Dienst Yahoo bereits früher in diesem Jahr bekannt geben musste, dass bei einem Angriff im September 2014 mindestens 500 Millionen Nutzer-Accounts kompromittiert worden sind, sind nun auch noch die Auswirkungen eines weiteren Angriffs im selben Zeitraum, nämlich im August 2013 bekannt geworden. Dabei sollen nun noch einmal mehr als eine Milliarde (!) Yahoo-Accounts in die Hände von Hackern geraten sein. Während es nicht unwahrscheinlich ist, dass es einige Überschneidungen bei den beiden Angriffen gab, ist die schiere Anzahl der abgegriffenen Accounts bereits mehr als erschütternd. Zu den erbeuteten Informationen zählen die Namen, E-Mail Addressen, Telefonnummern, Gebutrtsdaten, verschlüsselte Passwörter, sowie verschlüsselte und unverschlüsselte Sicherheitsfragen samt ihrer Antworten. Entschlüsselte Passwörter, Zahlungsdaten und Kreditkarteninformationen sollen sich hingegen nicht unter den gestohlenen Daten befinden.

Laut Yahoo wurde der Angriff entdeckt, nachdem sich Strafverfolgungsbehörden mit mutmaßlichen erbeuteten Daten an das Unternehmen gewandt haben. Während man noch keine genauren Informationen zu dem Angriff habe, sieht es so aus, als wäre dieser unabhängig zu dem aus dem September 2014 erfolgt. Inzwischen hat Yahoo damit begonnen, Nutzer mit betroffenen Accounts zu informieren und dabei auch darauf hinzuweisen, dass man bereits verschiedene Maßnahmen ergriffen habe, um die Benutzerkonten abzusichern. Dennoch solle man wachsam sein, Passwörter nach Möglichkeit ändern und jede ungewöhnliche Aktivität auf dem eigenen Konto an Yahoo melden. Zudem wird empfohlen, auch bei Yahoo die sichere Zwei-Faktor-Authentifizierung zu aktivieren.

Bereits Anfang des Jahres kamen Berichte auf, wonach es einen großflächig angelegten Hacker-Angriff auf den Internetdienst Yahoo gegeben habe, den dieser seinerzeit auch bestätigte. Allerdings forderte Yahoo seine User damals nicht auf, die Passwörter der Nutzerkonten zu ändern. Dies dürfte sich in Kürze ändern. So wird inzwischen eine angeblich bei dem damaligen Angriff erbeutete Datenbank mit mehr als 200 Millionen Yahoo-Konten aus dem Jahr 2012 im Darknet für gerade einmal knappe 1.800,- US-Dollar zum Kauf angeboten, wie die Kollegen von re/code berichten. Verantwortlich sein soll dafür derselbe Hacker, der auch schon erfolgreich die Internetdienste LinkedIn und Myspace angegriffen hatte. Diese Datenbank enthält neben dem Klar- und dem Benutzernamen auch die Geburtsdaten und E-Mail-Adressen der Nutzer. Kritisch ist jedoch vor allem, dass darin auch die damals noch mit dem verhältnismäßig unsicheren MD5-Hash gesicherten Kennwörter enthalten sind, die heutzutage, je nach Stärke des verwendeten Passworts, verhältnismäßig leicht zu entschlüsseln sind.

Wie immer gilt, dass es durchaus sinnvol ist, bereits frühzeitig Gegenmaßnahmen zu treffen. So sollte dringend das verwendete Passwort eines Yahoo-Kontos geändert werden. Hat man dieses auch für andere Dienste verwendet, gilt dort dasselbe. Zu den betroffenen Yahoo-Diensten zählen unter anderem das Mail- und Messenger-Angebot, aber auch die Konten des zu Yahoo gehörenden Fotonetzwerks Flickr. Nicht betroffen ist hingegen das inzwischen ebenfalls zu Yahoo gehörende Blog-Netzwerk Tumblr, welches erst 2013 zum Konzern gestoßen ist. Yahoo bietet inzwischen ebenfalls die als sicher geltende Zwei-Faktor-Anmeldung an, bei der der Zugriff auf den Dienst erst nach Eingabe eines per SMS zugesandten Codes möglich ist. Zudem können inzwischen auch Yahoos iOS-Apps für die Authentifizierung eines Yahoo-Kontos genutzt werden.

UPDATE: Inzwischen hat Yahoo den Angriff in der Tat offiziell bestätigt. Dabei kam heraus, dass das Ausmaß noch viel schlimmer ist, als zunächst angenommen. So sind mindestens 500 Millionen Yahoo-Konten von einem Angriff im Jahr 2014 betroffen, bei dem Namen, E-Mail Adressen, Telefonnumern, Geburtstage, verschlüsselte Passwörter, sowie verschlüsselte und unverschlüsselte Sicherheitsfragen und die zugehörigen Antworten. Zum aktuellen Zeitpunkt geht Yahoo nicht davon aus, dass unverschlüsselte Passwörter, Kreditkartendaten oder Bankinformationen betroffen sind.

Yahoo wird in Kürze alle betroffenen Nutzer informieren und sie zu entsprechenden Schritten auffordern. Sollte das Passwort des Accounts seit 2014 nicht geändert worden sein, sollte man dies als erstes tun. Sämtliche kompromittierten Sicherheitsfragen und -antworten wurden inzwischen von Yahoo ungültig gemacht. Zudem gab man die folgenden Anweisungen aus.

• Change your password and security questions and answers for any other accounts on which you used the same or similar information used for your Yahoo account.
• Review your accounts for suspicious activity.
• Be cautious of any unsolicited communications that ask for your personal information or refer you to a web page asking for personal information.
• Avoid clicking on links or downloading attachments from suspicious emails.
• Additionally, please consider using Yahoo Account Key, a simple authentication tool that eliminates the need to use a password altogether.

Es gelten also weiterhin die weiter oben im Artikel gemachten Tippszur Umstellung der Yahoo-Sicherheit auf die Zwei-Faktor-Anmeldung an, bei der der Zugriff auf den Dienst erst nach Eingabe eines per SMS zugesandten Codes möglich ist. Zudem können inzwischen auch Yahoos iOS-Apps für die Authentifizierung eines Yahoo-Kontos genutzt werden ("Yahoo Account Key").

In den vergangenen Tagen erhielten Millionen von Dropbox-Nutzern eine E-Mail des Datensynchronisationsdienstes mit der Aufforderung ihr Passwort zu ändern. Grund hierfür ist ein Angriff auf die Dropbox-Server, bei dem bereits im Jahr 2012 die Anmeldedaten von 68 Millionen Nutzern entwendet worden sind. Der Diebstahl gelang offensichtlich dadurch, dass es den Angreifen auf das soziale Business-Netzwerk LinkedIn seinerzeit gelungen war, auch die Zugangsdaten von Dropbox-Mitarbeitern zu entwenden, die für verschiedene Onlinedienste ein und dasselbe Passwort verwendet haben.

Inzwischen werden die erbeuteten Daten (es handelt sich um einer insgesamt 5 GB große Datenbank) auf einschlägigen Webseiten im Darknet zum Verkauf angeboten. Enthalten sind dabei sowohl die E-Mail Adresse, als auch das verschlüsselte Passwort der betroffenen Nutzer. Je nach Passwortstärke lässt sich dieses allerdings unter Umständen auch entschlüsseln. Aus diesem Grunde ist der Wechsel des Passwortes dringend angeraten, wenn es seit dem Jahr 2012 nicht bereits geändert wurde. Zudem empfiehlt sich auch bei Dropbox die Verwendung der sogenannten zweistufigen Authentifizierung. und das regelmäßige Ändern von Passwörtern. Laut Dropbox liegen bislang keine bekannten Fälle vor, in denen sich Dritte unrechtmäßig Zugang zu einem Dropbox-Konto verschafft haben.

Inzwischen kann man auf derWebseite have i been pwned? mithilfe der eigenen E-Mail Adresse oder eines Benutzernamens überprüfen, ob man von einem Datenleck betroffen ist. Sollte dem so sein, erhält man zudem weitere Informationen zum Angriff, sowie entsprechende Handlungsempfehlungen. Hat man das Passwort in der Zwischenzeit geändert, sollte man auf der sicheren Seite sein. Dies gilt allerdings nicht für den Fall, dass man dieselbe Benutzername-Passwort-Kombination auch auf anderen Plattformen genutzt hat. Hiervon ist grundsätzlich abzuraten. Ist dies dennoch der Fall, sollte das Passwort in jedem Fall bei jedem dieser Dienste geändert werden.

Nutzer des auch auf dem Mac durchaus beliebten alternativen Webbrowsers Opera sollten kurzfristig darüber nachdenken, ihr Kennwort für den Passwort-Synchronisationsdienst Opera Sync zu ändern. So mussten die norwegischen Entwickler am Wochenende bekannt geben, dass unbekannte Hacker möglicherweise erfolgreich die Opera-Server angegriffen und dabei, trotz ergriffener Gegenmaßnahmen, Daten erbeutet haben könnten. Konkret handelt es sich hierbei offenbar um die Zugangsdaten zum Opera-Konto, bestehend aus E-Mail-Adresse bzw. Benutzernamen und Passwort. Zwar wurden die Passwörter auf den Servern ausschließlich verschlüsselt, bzw. als Hash samt Salt gespeichert, dennoch könne je nach Passwortstärke nicht ausgeschlossen werden, dass sich die Daten entschlüsseln lassen. Aus diesem Grunde hat Opera die Kennwörter der Sync-Konten vorsorglich zurückgesetzt. Die betroffenen Kunden sollten hierüber bereits per E-Mail informiert worden sein und können/sollten ihr Passwort für Opera Sync über diese Webseite zurücksetzen.