Erste Sicherheitsprobleme mit wiederverwendeten Yahoo-IDs
Yahoo-Nutzer, denen das Unternehmen nach seiner Aufräumaktion im Sommer einen der freigewordenen Usernamen zugeteilt hat, bekommen offenbar an die früheren Eigentümer der der Yahoo-ID gerichtete E-Mails. Das hat InformationWeek berichtet. Demnach nicht nur Spam-Nachrichten an den ehemaligen Besitzer in ihrem Posteingang, sondern auch E-Mails mit persönlichen Daten wie Kontodaten, Bestätigungen für Termine und Flüge oder Ankündigungen von Veranstaltungen. Als Grund nimmt InformationWeek an, dass die ehemligen Besitzer der Yahoo-ID teilweise ihre alte E-Mail-Adresse weiterhin benutzen.
Der IT-Sicherheitsexperte Tom Jenkins, der ebenfalls Yahoo-Nutzer ist, erklärt, dass die so preisgegeben Daten durchaus für einen Identitätsdiebstahl ausreichend seien. Er könne beispielsweise auf das Pandora- und Facebook-Konto des Vorbesitzers seiner Yahoo-ID zugreifen. “Ich kenne seinen Namen, seine Adresse, seine Telefonnummer. Ich weiß, wo sein Kind zur Schule geht. Ich kenne die letzten vier Stellen seiner Sozialversicherungsnummer. Ich weiß, dass er in der vergangenen Woche einen Augenarzttermin hatte und gerade zur Hochzeit eines Freunds eingeladen wurde”, so Jenkins.
Yahoo erklärte gegenüber InformationWeek, es habe bisher nur von sehr wenig Nutzern Beschwerden erhalten, dass ihnen für den früheren Kontoinhaber bestimmte E-Mails zugegangen seien. Yahoo fordere die für den Versand der E-Mails verantortlichen Firmen auf, die betroffenen Konten anhand einer datumsbezogenen Kennzeichnung zu überprüfen.
Im Juli hatte Yahoo angekündigt, Nutzernamen, die seit mindestesn einem Jahr inaktiv waren, neu zu vergeben. Es sicherte dabei auch zu, dass Besitzer einer neu vergebenen ID keinen Zugang zu persönlichen Informationen des Vorbesitzers erhalten. Dafür führte Yahoo eine datumsbezogene Kennzeichnung ein. Sie soll sicherstellen, dass eine Website nicht versehentlich die neu vergebene E-Mail-ID mit dem Konto des alten Besitzers verknüpft.
Dylan Casey, Yahoos Senior Director für Consumer-Plattformen, erklärte im Juli gegenüber CNET, das Verfahren sei “sehr, sehr narrensicher”. Casey zufolge waren alle für die Wiederverwendung vorgesehen Yahoo-IDs inaktiv und nur sehr wenige hätten überhaupt noch E-Mails erhalten. Yahoo selber könne aber nur verhindern, dass Nutzer wieder auf ihre alten Konten zugriffen. Um auszuschließen, dass neue Nutzer Nachrichten erhielten, die an den ehemaligen Eigentümer gerichtet seien, sei man auf die Absender dieser Nachrichten angewiesen.
Google vergibt unter anderem aus diesem Grund, und weil sich Mailadressen für das Rücksetzen von Passwörtern auf anderen Sites nutzen lassen, Nutzernamen grundsätzlich nicht neu. Yahoo behauptete im Juli dagegen, seine Datenschutzmaßnahmen verhinderten jeden Missbrauch: Geht eine Anfrage für das Rücksetzen ein, werden die Registrierungsdaten bei der fremden Site und bei Yahoo korreliert.
[mit Material von Stefan Beiersmann, ZDNet.de]