Die Älteren unter euch werden sich erinnern: Früher™ war Yahoo das Google im Web. Keiner kam am Webkatalog des Unternehmens vorbei, wer da nicht drin stand, der war nicht im Netz. Lange her. Nach einigen Aufs und Abs wurde im Juli der Verkauf des Webgeschäfts für 4,8 Milliarden Dollar beschlossen – möglich, dass über diesen Preis angesichts des Ausmaßes des Datendiebstahls noch einmal nachverhandelt wird.
Lesenswert: Die Unersaettliche – Marissa Mayer killt Yahoo und macht dann Kasse
Laut Yahoo wurden folgende Daten von mindestens 500 Millionen Yahoo-Usern erbeutet: Name, Mailadresse, Geburtsdatum, Telefonnummern und verschlüsselte Passwörter. Das ist aber kein Grund zur Erleichterung, denn zum einen lassen sich die zu dem Zeitpunkt mit MD5 kodierten Passwörter zwischenzeitlich durchaus knacken und zum anderen sind die anderen Daten mindestens für Online-Betrüger eine spannende Sache. Mit korrektem Namen und Geburtsdatum versehene Phishing-Mails wirken glaubwürdiger und erhöhen die Klickrate ungemein. Nicht abhanden gekommen sollen Kreditkarten und Bankkontoinformationen sein. Immerhin.
Als Urheber der Attacke nennt Yahoo Angreifer mit „staatlichem Hintergrund“. Welchen staatlichen Hintergrund die Angreifer nach den Erkenntnissen von Yahoo hatten, hat das Unternehmen (noch) nicht bekannt gegeben. Möglicherweise folgt diese Information noch in den nächsten Tagen. Immerhin ist man sich bei Yahoo sicher, dass die Angreifer sich nicht mehr im Unternehmensnetzwerk rumtreiben.
Für die Nutzer bleibt die dringende Empfehlung die Passwörter zu ändern, mindestens die Nutzer, die eine solche Änderung seit 2014 nicht mehr vorgenommen haben. Möglicherweise überlegt sich der eine oder andere auch, ob der Yahoo-Account noch benötigt wird – eine Überlegung, die (früheren) Besitzern eines MySpace-Accounts nicht fremd sein dürfte…
