Die Strafverfolgungsbehörden stellten Yahoo im November 2016 Dateien zur Verfügung, bei denen es sich nach Angaben einer Drittpartei um Benutzerdaten von Yahoo handelte. Wir haben diese Daten mit Hilfe externer forensischer Experten analysiert und festgestellt, dass es sich offenbar um Benutzerdaten von Yahoo handelt. Auf Grundlage weiterer Analysen dieser Daten durch die forensischen Experten sind wir zu der Überzeugung gelangt, dass eine unbefugte Drittpartei im August 2013 Daten in Verbindung mit mehr als einer Milliarde Benutzeraccounts gestohlen hat. Yahoo war nicht in der Lage, das Eindringen in Verbindung mit diesem Diebstahl zu erkennen. Wir sind der Überzeugung, dass dieser Vorfall wahrscheinlich unabhängig von dem Vorfall ist, den wir am 22. September 2016 offengelegt haben. Wir benachrichtigen alle Benutzer, die potenziell von diesem Vorfall betroffen sind, und haben Schritte zum Schutz derer Accounts unternommen, darunter die Aufforderung zur Änderung der Passwörter. Yahoo hat zudem nicht verschlüsselte Sicherheitsfragen und -antworten außer Kraft gesetzt. Diese können somit nicht mehr für den Zugriff auf Accounts genutzt werden.

Unabhängig davon haben unsere externen forensischen Experten die Erstellung gefälschter Cookies untersucht, mit denen sich Eindringlinge ohne Passwort Zugriff auf die Accounts der Benutzer verschaffen könnten. Auf Grundlage der fortlaufenden Untersuchung haben die externen forensischen Experten Benutzeraccounts gefunden, bei denen das Akzeptieren oder die Nutzung gefälschter Cookies in den Jahren 2015 und 2016 anzunehmen ist. Das Unternehmen benachrichtigt die davon betroffenen Accountinhaber und hat die gefälschten Cookies außer Kraft gesetzt. Wir haben einige dieser Aktivitäten mit demselben von einer Regierung unterstützten Akteur in Verbindung gebracht, von dem wir glauben, dass er für den von uns am 22. September 2016 offengelegten Datendiebstahl verantwortlich ist.

Wir benachrichtigen Benutzer, die möglicherweise betroffen sind, und veröffentlichen weitere Informationen auf unserer Website. Zudem unternehmen wir Schritte zum Schutz der Accounts unserer Benutzer, darunter die Aufforderung zum Ändern der Passwörter. Yahoo hat zudem nicht verschlüsselte Sicherheitsfragen und -antworten außer Kraft gesetzt. Diese können somit nicht mehr für den Zugriff auf Accounts genutzt werden.

Auf Grundlage der fortlaufenden Untersuchung haben die externen forensischen Experten Benutzeraccounts gefunden, bei denen das Akzeptieren oder die Nutzung gefälschter Cookies in den Jahren 2015 und 2016 anzunehmen ist. Das Unternehmen benachrichtigt die davon betroffenen Accountinhaber und hat die gefälschten Cookies außer Kraft gesetzt.

Im Fall der potenziell betroffenen Accounts kann es sich um folgende Accountdaten handeln: Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten, Passwörter mit Hash (mit MD5) und in einigen Fällen verschlüsselte oder nicht verschlüsselte Sicherheitsfragen und deren Antworten. Die Untersuchung hat ergeben, dass Passwörter in Klartext und Daten von Zahlungskarten oder Bankkonten nicht von dem Diebstahl betroffen waren. Daten von Zahlungskarten und Bankkonten werden nicht auf dem vermutlich beeinträchtigten System gespeichert.

Beim Hashing handelt es sich um eine mathematische Funktion, die eine ursprüngliche Zeichenkette in eine scheinbar beliebige Zeichenkette verwandelt. Für diesen Vorgang gibt es keine Umkehr. Gehashte Passwort können daher nicht wieder in den ursprünglichen, nicht verschlüsselten Passworttext umgewandelt werden. Zum Zeitpunkt des Vorfalls im August 2013 haben wir für das Hashing von Passwörtern MD5 verwendet. Im Sommer 2013 haben wir damit begonnen, unseren Passwortschutz auf bcrypt zu aktualisieren. Bcrypt ist ein Passwort-Hashingmechanismus mit Sicherheitsfunktionen, darunter „Salt“ und mehrere Stufen der Berechnung. Dies bietet erweiterten Schutz gegen das Knacken von Passwörtern.

Mit gefälschten Cookies hatten Eindringlinge potenziell die Möglichkeit, ohne Passwörter auf die Accounts von Benutzern zuzugreifen. Auf der Grundlage einer fortlaufenden Untersuchung von Yahoo sind wir der Ansicht, dass sich eine unbefugte Drittpartei Zugriff auf unseren firmeneigenen Code verschaffte, um Informationen zum Fälschen von Cookies zu erhalten. Die externen forensischen Experten haben Benutzeraccounts gefunden, bei denen das Akzeptieren oder die Nutzung gefälschter Cookies anzunehmen ist. Das Unternehmen benachrichtigt die davon betroffenen Accountinhaber und hat die gefälschten Cookies außer Kraft gesetzt.

Ein Cookie ist ein kleiner Datensatz, der auf einem Computer gespeichert wird, um einen Browser bei der Interaktion mit Websites zu identifizieren. Websites nutzen Cookies, um Informationen über Besucher zu speichern und später zu verwenden, beispielsweise bestimmte Website-Einstellungen. Klicken Sie hier, um weitere Informationen über die Praxis von Yahoo bezüglich Cookies und ähnlicher Technologien zu erhalten.

Wir sind der Überzeugung, dass der Vorfall vom August 2013 wahrscheinlich unabhängig von dem Vorfall ist, den wir am 22. September 2016 offengelegt haben.

Wir haben einige der Cookie-Fälschungen mit demselben von einer Regierung unterstützten Akteur in Verbindung gebracht, von dem wir glauben, dass er für den von uns am 22. September 2016 offengelegten Datendiebstahl verantwortlich ist. Benutzer, die Ziel dieses von einer Regierung unterstützten Akteurs waren, erhielten eine zusätzliche Benachrichtigung wie diese.

Klicken Sie hier, um sich den Inhalt unserer Benachrichtigung an betroffene Benutzer anzusehen. Bitte beachten Sie, dass in den E-Mails von Yahoo bezüglich dieses Problems das Yahoo -Logo zu sehen ist, wenn die E-Mail auf der Yahoo-Website oder in der Yahoo Mail-App abgerufen wird. In den E-Mails werden Sie nicht gebeten, auf Links zu klicken. Die E-Mails enthalten auch keine Anhänge und bitten nicht um Ihre persönlichen Daten. Wenn Sie in einer E-Mail, die Sie in Verbindung mit diesen Problemen erhalten, darum gebeten werden, auf einen Link zu klicken, einen Anhang herunterzuladen oder persönliche Daten anzugeben, stammt diese E-Mail nicht von Yahoo und es kann sich um einen Versuch handeln, Ihre persönlichen Daten abzugreifen. Klicken Sie nicht auf Links und laden Sie keine Anhänge solcher verdächtigen E-Mails herunter.

Wir haben Maßnahmen zum Schutz unserer Benutzer ergriffen, darunter:

• Wir fordern potenziell betroffene Benutzer auf, ihre Passwörter zu ändern.
• Wir haben unverschlüsselte Sicherheitsfragen und -antworten ungültig gemacht, sodass sie nicht für den Zugriff auf ein Konto verwendet werden können.
• Die gefälschten Cookies wurden außer Kraft gesetzt und die Sicherheitsvorkehrungen unserer Systeme bezüglich ähnlicher Attacken wurden verschärft.
• Außerdem verbessern wir fortlaufend unsere Sicherheitseinrichtungen und Systeme, die unbefugten Zugriff auf Benutzeraccounts feststellen und vereiteln.

Klicken Sie hier, um Ihr Passwort für Yahoo oder Ihre Sicherheitsfragen und -antworten zu ändern. Potenziell betroffene Benutzer müssen ihre Passwörter ändern. Nicht verschlüsselte Sicherheitsfragen und deren Antworten wurden außer Kraft gesetzt. Diese können damit nicht mehr für den Zugriff auf Accounts genutzt werden.

Wir raten allen unseren Benutzern, diese Sicherheitsempfehlungen zu befolgen:

• Ändern Sie Ihr Passwort sowie die Sicherheitsfragen und Antworten für sämtliche weiteren Accounts, bei denen Sie dieselben oder ähnliche Informationen wie für Yahoo Account verwenden.
• Prüfen Sie alle Ihre Accounts auf verdächtige Aktivitäten.
• Seien Sie vorsichtig bei unerwünschten Mitteilungen, in denen Sie nach Ihren persönlichen Daten gefragt werden oder die Sie auf eine Webseite verweisen, auf der Sie nach persönlichen Daten gefragt werden.
• Vermeiden Sie es, auf Links zu klicken oder Anhänge verdächtiger E-Mails herunterzuladen.

Außerdem empfiehlt es sich, die Bestätigung in zwei Schritten zu aktivieren. Dabei handelt es sich um einen einfachen, sicheren Authentifizierungsmechanismus, der zusätzlich zu Ihrem Passwort einen Bestätigungscode erfordert.

Auch wenn Passwörter in Klartext und Daten von Zahlungskarten oder Bankkonten nicht zu den entwendeten Accountdaten gehörten, empfehlen wir Ihnen, wachsam zu bleiben und Ihre Kontoauszüge und Kreditkartenabrechnungen zu überprüfen. Nachfolgend finden Sie die Kontaktdaten der drei nationalen Agenturen, bei denen Sie eine Kreditauskunft anfordern können (nur USA).

Ziehen Sie in Betracht, eine Betrugsbenachrichtigung (Fraud Alert) auf Ihrer Kreditdatei zu platzieren, um sich vor Identitätsdiebstahl zu schützen (nur USA). Sie können auch einen „Security Freeze“ (auch „Credit Freeze“ genannt) auf Ihrer Kreditdatei platzieren (nur USA). Ein Security Freeze verhindert, dass potenzielle Kreditgeber ohne Ihre Zustimmung auf Ihre Kreditdatei bei den Kreditauskunftsagenturen zugreifen. Es können Gebühren anfallen, um einen solchen Security Freeze zu setzen oder zu entfernen. Diese bewegen sich im Allgemeinen zwischen 5 und 20 USD pro Maßnahme (nur USA). Anders als bei einer Betrugsbenachrichtigung muss der Security Freeze bei jeder Kreditauskunftsagentur einzeln zu Ihrer Kreditdatei hinzugefügt werden (nur USA). Weitere Informationen über Security Freezes erhalten Sie bei den drei oben genannten nationalen Kreditauskunftsagenturen und der FTC (nur USA). Die Vorgehensweise zur Einrichtung eines Security Freeze ist je nach US-Bundesstaat unterschiedlich. Bitte wenden Sie sich an die drei Kreditauskunftsagenturen, um weitere Informationen zu erhalten (nur USA).

Die Verbrauchermeldebehörden verlangen möglicherweise, dass Sie sich ausweisen, bevor sie Ihrer Anfrage nachkommen. Sie werden beispielsweise nach folgenden Informationen gefragt:

• Ihr vollständiger Name mit mittlerem Anfangsbuchstaben und Generation (z. B. Jr., Sr., II, III)
• Ihre Sozialversicherungsnummer
• Ihr Geburtsdatum
• Adressen, an denen Sie in den letzten fünf Jahren gelebt haben
• Eine lesbare Kopie eines von der Regierung ausgestellten Ausweises (z. B. eines staatlichen Führerscheins oder eines Militärausweises)
• Nachweis Ihrer aktuellen Wohnadresse (z. B. eine aktuelle Stromrechnung oder ein Kontoauszug)

Sie haben das Recht, einen Polizeibericht einzuholen und wie oben beschrieben eine Sicherheitssperre zu beantragen. Die Verbrauchermeldebehörden erheben möglicherweise eine Gebühr von bis zu 10 US-Dollar für die Sperrung Ihres Kontos und können von Ihnen die Angabe bestimmter persönlicher Daten (z. B. Ihren Namens, Ihre Sozialversicherungsnummer, Ihr Geburtsdatum und Ihre Adresse) verlangen. Sie können außerdem einfordern, dass Sie einen ordnungsgemäßen Ausweis vorlegen (z. B. eine Kopie eines amtlichen Personalausweises sowie eine Rechnung oder einen Kontoauszug), bevor Sie Ihrem Antrag auf eine Sicherheitssperre nachkommen. Für die Anordnung, die Aufhebung oder das Entfernen einer Sicherheitssperre fallen jedoch keine Gebühren an, wenn Sie Opfer eines Identitätsdiebstahls geworden sind und den Verbrauchermeldebehörden einen gültigen Polizeibericht vorlegen.

Nein. Die Systeme, von denen im August 2013 Daten gestohlen wurden, enthielten zum Zeitpunkt des Diebstahles keine Tumblr-Benutzerdaten. Zudem liegen Yahoo keine Anzeichen vor, dass die gefälschten Cookies mit dem Ziel des Zugriffs auf Tumblr-Konten genutzt wurden.

Wenn Sie für Ihren Account weitere Informationen oder Hilfestellung benötigen, besuchen Sie bitte de.hilfe.yahoo.com. Dort erhalten Sie die neuesten Informationen und können ggf. direkt den Kundensupport kontaktieren. NEHMEN SIE KEINEN KONTAKT mit Supportdiensten auf, die nicht von Yahoo bereitgestellt werden, speziell solchen, die für ihre Dienste Gebühren erheben. Yahoo erhebt keine Gebühren für den Kundensupport seiner Accounts. Hinweis: Yahoo leitet sämtlichen Support durch de.hilfe.yahoo.com.