Digital Life
12.07.2012

Yahoo: 450.000 Klartext-Passwörter gestohlen

Angreifer konnten in eine Datenbank von Yahoo eindringen und in großem Ausmaß Nutzerdaten kopieren. Die E-Mail-Adressen und Passwörter waren offenbar unverschlüsselt gespeichert und wurden kurz darauf veröffentlicht.

Wie das Sicherheitsunternehmen TrustedSec berichtet, stammen die Zugangdaten mit hoher Wahrscheinlichkeit von dem Voice-over-IP-Dienst „ Yahoo! Voice". Für den Angriff wurde offenbar eine SQL-Injection eingesetzt. Diese Art der Attacke weist in der Regel auf stark mangelhafte Sicherheitsvorkehrungen von Webseitenbetreibern hin.

Insgesamt wurden genau 453,492 Zugangsdaten entwendet und online gestellt. Die veröffentlichten E-Mail-Adressen stammen dabei von verschiedenen Providern wie Gmail, AOL und andere. Die komplette Liste mit Adressen und Passwörter war von TrustedSec verlinkt, kann aber zum aktuellen Zeitpunkt nicht mehr aufgerufen werden.

"Viele weitere Sicherheitslücken"
Neben den Daten findet sich in dem entsprechenden Textdokument noch eine Notiz der vermeintlichen Angreifer: „Wir hoffen, dass alle alle Sicherheitsverantwortlichen für diese Subdomain das als Weckruf und nicht als Bedrohung sehen. Es gibt viele Sicherheitslücken in Yahoo-Webservern, die viel größere Schäden angerichtet haben als unsere Enthüllung." Details zu den weiteren Lücken nennen die Angreifer nicht, laut eigenen Angaben „um noch mehr Schaden zu verhindern".

Yahoo-Nutzern wird geraten, das eigene Passwort so schnell wie möglich zu ändern. Falls die gleichen Daten auch bei anderen Diensten genutzt werden, sollten diese Accounts ebenfalls umgehend geändert werden.

Mehr zum Thema

  • 400.000 Formspring-Passwörter veröffentlicht
  • LinkedIn wird nach Passwort-Diebstahl verklagt
  • Last.fm: Alle User sollen ihr Passwort ändern
  • 60 Prozent der LinkedIn-Passwörter geknackt
  • Millionen Passwörter von LinkedIn entwendet
  • 35.000 Twitter-Passwörter online aufgetaucht