Yahoo wiegelt ab: 95 Prozent der gestohlenen Log-in-Daten sind ungültig

Big DataData & StoragePolitikRechtSicherheit

Über eine SQL Injection will sich die Gruppe “D33Ds Company” rund 450.000 Anmeldedaten von Yahoo Voices erschlichen haben. Alles halb so schlimm, meint Yahoo: Nur 5 Prozent der Daten seien noch gültig.

Der Hack bei Yahoo Voices, bei dem die Gruppe D33Ds Company sich nach eigenen Angaben mittels SQL Injection Zugang zu 450.000 Anmeldedaten von Nutzern verschafft hat, werde überbewertet, wehrt Yahoo Kritik an seinen Sicherheitsmaßnahmen ab. Der Internetkonzern räumte zwar gegenüber TechCrunch ein, dass rund 400.000 Daten gestohlen wurden. Davon seien aber weniger als fünf Prozent noch gültig.

Durch eine SQL-Injection sollen zahlreiche Login-Daten bei Yahoo abgegriffen worden sein.

“Wir bei Yahoo nehmen Sicherheit sehr ernst und investieren viel in Schutzmaßnahmen, um die Sicherheit unserer Nutzer und ihrer Daten bei all unseren Produkten zu gewährleisten”, heißt es in einer von TechCrunch veröffentlichten Stellungnahme. Die schätzungsweise 400.000 Nutzernamen und Passwörter seien in einer am 11. Juli gestohlenen “alten Datei des Yahoo Contributor Network (ehemals Associated Content)” enthalten gewesen. Das ist Yahoos interne Bezeichnung für den Dienst, den Nutzer als Yahoo Voices kennen.

Weiter schreibt Yahoo: “Wir beseitigen die Schwachstelle, die zur Aufdeckung der Daten geführt hat, ändern die Passwörter der betroffenen Anwender und informieren die Firmen, deren Nutzerkonten möglicherweise kompromittiert wurden. Wir entschuldigen uns bei allen Betroffenen. Wir empfehlen Nutzern, ihre Passwörter regelmäßig zu ändern und sich mit unseren Sicherheitstipps unter security.yahoo.com vertraut zu machen.”

Um auf der sicheren Seite zu sein, sollte jeder Yahoo-Nutzer sein Passwort ändern. Verwendet man dieselbe Kombination aus E-Mail und Passwort auch für andere Dienste, empfiehlt es sich, sie auch dort auszutauschen. Ob der eigene Account kompromittiert wurde kann man durch Eingabe der verwendeten E-Mail-Adresse bei Sucuri Labs überprüfen.

Das Sicherheitsunternehmen ESET hat die im Klartext gespeicherten Anmeldedaten analysiert, die von der Hackergruppe veröffentlicht wurden. Demnach handelte es sich exakt um 442.773 Einträge, davon 342.478 eindeutig unterscheidbare. Das bedeutet, dass 100.295 Passwörter oder 22,65 Prozent von mehreren Personen verwendet wurden. Die drei häufigsten waren “123456” (1666 oder 0,38 Prozent), “password” (780 oder 0,18 Prozent) und “welcome” (436 oder 0,1 Prozent). Die drei häufigsten E-Mail-Domains waren “yahoo.com” (31,07 Prozent), “gmail.com” (24,14 Prozent) und “hotmail.com” (12,45 Prozent).

[mit Material von Emil Protalinski, ZDNet.com]