UPDATE 23. September 2016: Yahoo hat den Diebstahl von mindestens 500 Millionen Nutzer-Datensätzen bestätigt, 300 Millionen mehr als ursprünglich angenommen. Die Namen, E-Mail-Adressen und Geburtsdaten der Kunden seien schon im Jahr 2014 erbeutet worden. Zugriff auf unverschlüsselte Passwörter sowie Kreditkarten- und Bankdaten hätten die Hacker nicht gehabt, dafür aber auf Sicherheitsfragen und deren Antworten. Yahoo glaubt an einen Hack mit staatlicher Unterstützung, wollte aber keine Verdächtigen nennen. Medien sprechen vom möglicherweise größten Datendiebstahl aller Zeiten.
Ursprünglicher Artikel:
Die ersten Mutmaßungen über einen Einbruch in die Yahoo-Datenbanken gab es Anfang August 2016. Für drei Bitcoin (umgerechnet etwa 1600 Euro) bot ein Hacker namens Peace – auch bekannt als peace_of_mind – auf dem Darknet-Marktplaz The Real Deal Pakete mit Nutzerdaten von Yahoo-Diensten an. Diese sollen insgesamt mehr als 200 Millionen Account- und Klarnamen, E-Mail-Adressen und leicht zu knackende Passwort-Hashes enthalten. Yahoo gab an, die Informationen zu prüfen.
Mittlerweile bestätigen mehrere Quellen, dass die Untersuchungen kurz vor dem Abschluss stehen. Die Daten und der Hack, aus dem sie stammen, seien echt – und die Situation katastrophal. „Es ist wirklich schlimm“, zitiert Recode eine Quelle: „Furchtbar, wirklich.“
Noch in dieser Woche soll Yahoo die Ergebnisse seiner Prüfung bekannt geben. Mit potenziell schwerwiegenden Folgen, die kompromittierten Accounts könnten nicht zuletzt den bevorstehenden Verkauf von Yahoo an Verizon erschweren. Ein Hack beziehungsweise Datenleck dieser Größe zieht womöglich eine Untersuchung der US-Regierung sowie Klagen der betroffenen Nutzer nach sich. Die Situation würde außerdem den aktuellen Marktwert von Yahoo und damit den Übernahmepreis von 4,8 Milliarden Dollar in Frage stellen. Ebenso ist zu befürchten, dass die US-Regulierungsbehörden ihre Zustimmung zur Akquise bis zum Abschluss einer offiziellen Untersuchung verweigern.
Unklar ist derweil noch, wie aktuell und demzufolge nutzbar die Account-Daten sind. Denn laut Strichprobentests von IDG News Service und Motherboard sind viele der Login-Daten nicht mehr gültig oder die Accounts bereits deaktiviert. Laut Anbieter Peace stammten die Datenpakete „höchst wahrscheinlich aus 2012“. Im gleichen Jahr wurde die Ex-Google-Managerin Marissa Mayer zur CEO von Yahoo ernannt – und es gelang der Hackergruppe D33ds Company, 450.000 Yahoo-Accounts zu knacken.
Bislang hat Yahoo seine Nutzer nicht dazu aufgefordert, ihre Passwörter zu ändern. Das spiele ihm nur in die Hände, sagt Peace. Je länger der Konzern mit einer offiziellen Erklärung warte, umso länger blieben seine Daten heiß begehrt.
+++ Mehr von WIRED regelmäßig ins Postfach? Hier für den Newsletter anmelden +++
