In dieser Woche hat Yahoo bestätigt, dass bereits 2014 ein großangelegter Diebstahl an Userdaten stattgefunden hat. 500 Millionen Useraccounts sind betroffen, heißt es. Die Wahrscheinlichkeit, dass der eigene Account dabei ist, ist also nicht gering. Es ist auch nicht das erste Mal, dass Yahoo von solchen Attacken betroffen ist. Yahoo geht davon aus, dass eine staatliche Organisation diesen Einbruch in seine Systeme unterstützt hat.
Yahoo teilt mit, dass Daten wie Vorname, Nachname, Geburtsdatum und das „verhashte“ Passwort gestohlen worden seien. Der oder die Hacker haben also nicht unmittelbar Zugriff auf die Passwörter, aber Sicherheitsfragen, mit denen man verlorene Passwörter wieder herstellen kann, wurden unverschlüsselt gespeichert. Zudem ist auch nicht auszuschließen, dass der Schlüssel für die verhashten Passwörter gefunden wird, vor allem, weil das Verfahren bcrypt, das Yahoo nach eigenem Bekunden zumeist einsetzte, mit einer Schlüssellänge von 56 Bytes mit vertretbarem Hardware- und Energieaufwand gehackt werden kann. Kreditkartendaten oder andere Zahldaten seien nicht entwendet worden. Betroffene Kunden will Yahoo informieren oder informiert haben (per Mail).
Vor diesem Hintergrund rät Yahoo, das Passwort zu ändern.
Die Frage, die sich stellt, braucht man das Yahoo-Konto überhaupt noch? Es wäre unter Umständen fatal, nichts zu unternehmen, auch wenn man der Meinung ist, Yahoo sei inzwischen irrelevant und was mit dem Konto ist, ist egal, auch wenn es gehackt wird. Es wäre schon recht fahrlässig, Hacker oder Leuten, die diese Kundendaten dann vielleicht benutzen, bei illegalen Aktivitäten zu unterstützen.
Wer seinen Yahoo Account komplett löschen will, nutzt diese Seite:
https://edit.yahoo.com/config/delete_user?.intl=de
In der Hilfe von Yahoo stehen noch einige Warnungen zur Accountdeaktivierung.
Sie müssen dabei auch bedenken, dass in der Vergangenheit viele Yahoo-Dienste neu hinzugekommen sind, andere wurden auch bereits wieder eingestellt. So braucht man ein Yahoo-Konto wenn man den Fotodienst Flickr nutzen will oder Yahoo Mail, was wahrscheinlich die wichtigste und meistverwendete Anwendung ist.
Auch das erst spät integrierte Tumblr arbeitet mit einem Yahoo-Account. Userdaten sollen bei Tumblr aber nicht gestohlen worden sein.
Yahoo schlägt vor, den Zugang auch mittels einer Mobilfunknummer zu sichern. Es gibt auch die Möglichkeit einer Zwei-Faktor-Authentifizierung, die aber mit manchen Apps nicht funktionieren wird.
Es gibt eine zentrale Seite, auf der Account-bezogene Informationen eingesehen und verändert werden können.
Man erreicht sie mit diesem Link (oder man hangelt sich über einen Dienst wie Yahoo Mail durch):
https://login.yahoo.com/account/personalinfo
Nach dem Login kann man die persönlichen Angaben sehen soweit welche hinterlegt worden sind sowie eine Liste mit den letzten Aktivitäten, die hinsichtlich des Hacks nun von höherem Interesse sein könnte. Die Yahoo-Profiles gibt es übrigens nicht mehr, auch wenn sie an der einen oder anderen Stelle in den Yahoo-Portalen noch verlinkt sind.
Wichtig ist vor allem zu überprüfen, welchen Apps man in der Vergangenheit Zugriff erlaubt hatte. So konnte Yahoo mit Dropbox, Linkedin und vielen anderen Diensten verbunden werden.
Es empfiehlt sich, spätestens jetzt die Verknüpfungen zu lösen und unter Einstellungen auf der -Account-Sicherheit-Seite „Bestätigung in zwei Schritten“ zu aktivieren (das ist die Zweifaktorauthentifizierung). Der Schalter, mit dem man zulassen kann, auch Apps mit weniger sicheren Anmeldemethoden Zugriff zu erlauben, sollte man deaktivieren.
Ganz wichtig: Auf dieser Seite kann man die Sicherheitsfragen zur Passwortwiedererlangung deaktivieren. Das sollte man tun. Diese Daten sind im aktuellen Hack nämlich offenbar entwendet worden, und zwar unverschlüsselt.
