Hunderttausende Yahoo-Accounts gehackt und veröffentlicht[h=2][/h] Dem Internetkonzern Yahoo sind massenweise sensible Kundendaten entwendet worden. Hacker hätten rund 400.000 Benutzernamen und Passwörter gestohlen, mit denen Nutzer auf die Seite von Yahoo und anderer Unternehmen zugreifen konnten, sagte eine Sprecherin gestern.
[h=3]Auch Google und Microsoft betroffen?[/h]Nach Einschätzung von IT-Experten sind auch Nutzer von Unternehmen wie Google, AOL sowie Microsoft betroffen. Das gehe aus einem im Internet veröffentlichten Datensatz hervor, teilte das Sicherheitsunternehmen Rapid7 mit.
„Das geht weit über Yahoo hinaus“, sagte Marcus Carey von Rapid7. „Wir gehen davon aus, dass Zehntausende Nutzer anderer Dienstleistungen in eine schwierige Lage gebracht werden könnten.“
Yahoo entschuldigte sich für den Vorfall und erklärte, Hacker hätten eine Sicherheitslücke im Computersystem des Konzerns ausgenutzt. Die auf einem Server des Konzerns gespeicherten Passwörter und Benutzernamen für E-Mail-Konten seien von einer Hackergruppe namens D33DS geknackt und im Internet veröffentlicht worden. Welche anderen Unternehmen von dem Datendiebstahl betroffen waren, wollte der Konzern auf Anfrage nicht sagen. Google, AOL und Microsoft waren für eine Stellungnahme zunächst nicht zu erreichen.
[h=3]Yahoo will Passwörter ändern[/h]Yahoo sicherte zu, die Sicherheitslücke zu schließen und die Passwörter zu ändern. Für den angeschlagenen Internetkonzern reißen die negativen Nachrichten damit nicht ab. Die übermächtige Konkurrenz von Google, Apple und Facebook macht dem einstigen Internetpionier zu schaffen. In nur einem Jahr hat das Unternehmen aus dem Silicon Valley zwei Vorstandschefs verschlissen.
In jüngster Zeit sind mehrere erfolgreiche Angriffe bekanntgeworden. Zuletzt waren die Sozialen Netzwerke LinkedIn und eHarmony Ziele von Hackern. Im Dezember wurden Informationen der Analystengruppe Stratfor veröffentlicht. Darunter waren Daten, die dem ehemaligen US-Vizepräsidenten Dan Quayle und Ex-Außenminister Henry Kissinger gehörten.
[h=1]Der GMX-GAU[/h] 3000 GMX Email-Konten wurden mal eben gehackt. Dabei war es nicht einmal so, dass mal herausfinden musste, wie das jeweilige Passwort war. Die Angreifer wussten die Passwörter. Eine so genannte Brute Force Attacke (also das Durchprobieren der Möglichkeiten) scheidet aus. Nun – so heißt es in den Medien – kursieren Listen mit der Kombination “Email-Adresse – Passwort” im Internet.
Der Image-Schaden bei einem der größten Email-Dienstleister Deutschlands ist immens, trotz dass es “nur” 3000 der rund 15 Millionen Benutzerkonten betrifft. Aber die 3000 wurden mal eben gekapert und die Zugänge veröffentlicht. Die ZEIT hat in einem zugehörigen Artikel den Leiter für E-Mail-Sicherheit bei GMX, Leslie Romeo, wie folgt zitiert:
[INDENT]Eine groß angelegte Brute-Force-Attacke können wir nach aktuellem Stand ausschließen. Sehr wahrscheinlich ist, dass die Hacker eine Liste mit Passwort-Nutzernamen-Kombinationen vorliegen haben, mit der sie derzeit automatisiert auf gut Glück versuchen, auf E-Mail-Accounts zuzugreifen[...]
[/INDENT] Unterm Strich kann man so argumentieren: Es gibt Nutzer, die für alle Portale, wo sie sich anmelden, das gleiche Passwort benutzen. Ist das einmal herausgefunden, kann jeder andere Zugang auch geöffnet werden. Und das muss wohl bei GMX passiert sein. Und so auch bei Yahoo.
[h=1]Der Yahoo-Hack[/h] OK, ein wirklicher Hack war es nicht. Denn die 450000 Benutzerkonten, die nun im Internet kursieren, müssen genauso ausgespäht worden sein wie bei GMX: Mit Passwortlisten. Das bedeutet, dass die Angreifer wussten, für welches Konto welches Passwort gilt.
Und trotzdem – so berichtet Heise Security – wurde mit einer “SQL Injection” Zugriff verschafft. Hinter dem Angriff steht den Angaben zufolge “D33Ds Company”, und die hatte Zugriff auf eine nicht ausreichend gesicherte Datenbank von Yahoo. Beeindruckend ist dabei folgende Aussage in dem Artikel:
[INDENT]Ob die Passwörter im Klartext oder in der Datenbank gespeichert waren oder sich die Hacker vor der Veröffentlichung der Daten am Knacken von Passwort-Hashes versucht haben, ist unklar. Letzteres würde bedeuten, dass es sich bei den rund 450.000 nur um die Datensätze handelt, zu denen die Hacker die Passwörter ermitteln konnten und der tatsächliche Umfang der entwendeten Daten noch höher ist.
[/INDENT] [h=1]Konsequenzen[/h] Es steht völlig außer Frage, dass bei GMX, Formspring (420000 Benutzerkonten gehackt) und Yahoo umfangreiche Ermittlungen nun laufen. Man will die Sicherheitslöcher stopfen. Und man will die Täter haben. Völlig klar. Und die Benutzer?
Noch ist nicht raus, inwieweit schon betroffene Benutzer feststehen. Sobald dies klar ist, werden die Anbieter wohl Rücksetzinformationen zusammenstellen und die Benutzerkonten zurücksetzen. Eines ist aber auf jeden Fall klar:
Es darf nicht vorkommen, dass man als Internetnutzer mehr als einen Dienst pro Passwort nutzt. Legen Sie sich selbst Passwortlisten an. Speichern Sie diese auf einem externen Medium (USB-Stick, CD etc.) in einer Textdatei nach dem Format:
------------------------------------------- | Dienst | Benutzerkonto | Passwort | ------------------------------------------- Verwenden Sie sichere Passwörter. Der Name des Hundes sollte es nicht sein. Ihr Geburtstag auch nicht. Es sollte eine Kombination aus Zahlen, Buchstaben und Sonderzeichen sein. Am besten bunt gewürfelt. Die Kanzlei Hülskötter & Partner hat in ihrem “Advoblog” einen ganzen Artikel zum Thema “Sichere Passwörter” verfasst. Es lohnt sich, ihn zu lesen.
Also folgende Faustregeln sollte man sich zu Gemüte führen:
- Eine Passwortdatei auf einem externen Speichermedium nutzen
- Ein Passwort nie doppelt verwenden
- komplexe Passwörter verwenden
- Die Passwörter nicht weitergeben
Dann sollte man weniger Ärger im Internet haben. Schaffen Sie es, das einzuhalten?
Henning Uhle | GMX und Yahoo gehackt – Wer ist der nächste?
Cu
Verbogener