Als der letzte große Angriff auf Nutzerkonten bei Yahoo untersucht wurde, fiel auch auf, dass es noch weitere unentdeckte Schwachstellen gibt. Und diese wurden von Angreifern über Jahre hinweg ausgenutzt, ohne dass jemand etwas mitbekam. Das geht aus einer neuen Pflichtmitteilung des Konzerns hervor.
Mitte Februar hatte Yahoo mitgeteilt, dass es gar keines Angriffes auf die Login-Daten der Nutzer benötigte, um einen Zugang zu den Accounts zu bekommen. Es sei auch möglich gewesen, die Zugriffssperren mit gefälschten Cookies zu überwinden. Zu diesem Zeitpunkt war noch völlig unklar, wie viele Nutzer von dem Problem tatsächlich betroffen waren. Yahoo erklärte lediglich, dass die fraglichen User informiert und die Schwachstellen abgedichtet würden.
Wie sich nun zeigte, geht es keineswegs darum, dass mit der Cookie-Attacke gelegentlich einzelne Accounts gezielt gekapert wurden. Im Jahresbericht an die US-Börsenaufsicht SEC teilte man das Ergebnis der Nachforschungen in dem Fall mit: Es gehe für die Jahre 2015 und 2016 um insgesamt 32 Millionen Nutzerkonten.
Ein alter Bekannter?
Das deutet darauf hin, dass über die Sicherheitslücke nicht nur gezielt bestimmte Anwender attackiert, sondern ebenfalls in größerem Stil Daten geklaut wurden. Die Verantwortlichen bei Yahoo haben auch einen Verdacht: Man vermutet, dass der gleiche "staatlich finanzierte Akteur" dahintersteckt, der bereits im Jahr 2014 Informationen von rund 500 Millionen Accounts gestohlen hat. Wie man auf diese Idee kommt, wurde allerdings nicht genauer erläutert.
Für die betroffenen Nutzer enthält der SEC-Bericht des Unternehmens zumindest ein kleines Detail, das etwas Genugtuung verschaffen könnte: Die bisherige Konzernchefin Marissa Mayer wird aufgrund der Sicherheitsprobleme, die in der letzten Zeit eingeräumt werden mussten, komplett auf Bonus-Zahlungen verzichten müssen. Sie ist zwar nicht direkt für die Schwierigkeiten verantwortlich, als oberste Vorgesetzte aber zumindest indirekt. Mayer wird das Unternehmen jetzt ohnehin verlassen - und der nun erfolgte Abschluss des letzten Geschäftsjahres stellt ohnehin das Ende von Yahoo in seiner bisher bekannten Form dar.
Anmelden
Als der letzte große Angriff auf Nutzerkonten bei Yahoo untersucht wurde, fiel auch auf, dass es noch weitere unentdeckte Schwachstellen gibt. Und diese wurden von Angreifern über Jahre hinweg ausgenutzt, ohne dass jemand etwas mitbekam. Das geht aus einer neuen Pflichtmitteilung des Konzerns hervor.
