c.m.g
13-07-2012, 09:55
giovedì 12 luglio 2012
Pubblicate le credenziali di accesso in chiaro degli utenti. In segno di protesta per la mancanza di sicurezza. Nei guai anche Formspring: che ha deciso di far cambiare password a tutti i suoi utenti
Roma - Divulgati (http://news.cnet.com/8301-1009_3-57470786-83/hackers-post-450k-credentials-apparently-pilfered-from-yahoo/) attraverso il sito di hacking D33D Company più di 450mila nomi utenti e password di utenti Yahoo!.
Le credenziali di accesso sono state postate (https://d33ds.co/archive/yahoo-disclosure.txt) non cifrate, come sembra fossero conservate, e sarebbero originarie di un sottodominio di Yahoo!, apparentemente legato (https://www.trustedsec.com/july-2012/yahoo-voice-website-breached-400000-compromised/) alla piattaforma Yahoo! Voices già nota come Associated Content.
Coloro che hanno rivendicato l'offensiva riferiscono di aver usato un semplice attacco (http://punto-informatico.it/cerca.aspx?s=SQL+injection&t=4) di tipo SQL injection che gli ha permesso di penetrare il sistema senza troppe difficoltà. Gli hacker hanno detto (http://www.forbes.com/sites/andygreenberg/2012/07/12/hackers-spill-more-than-450000-email-addresses-and-passwords-blame-a-yahoo-database-vulnerability/) di aver pubblicato i dati così ottenuti per "dare una svegliata" alle aziende responsabili della sicurezza dei dati di così tanti utenti: "Sono stati individuati numerose vulnerabilità nei webserver di Yahoo!, molte delle quali già sfruttate hanno provocato più danni del nostro attacco". Insomma, non si tratterebbe di una minaccia per Yahoo!, ma di una sorta di invito a fare decisamente meglio nell'interesse dei netizen che si affidano ai suoi servizi.
Yahoo!, in particolare per il suo servizio di mail mobile, già nei giorni scorsi è stata chiamata in causa (http://punto-informatico.it/3556853/PI/News/android-botnet-smentire.aspx) nel caso relativo alla botnet spam che sembrava sfruttare Android.
Il sito in viola, d'altronde, non è l'unico ad avere problemi di sicurezza: da ultima anche la piattaforma di social sharing (http://www.formspring.me/) Formspring si è vista costretta (http://news.cnet.com/8301-1009_3-57469944-83/formspring-disables-user-passwords-in-security-breach/) a disabilitare le password di tutti i suoi utenti dopo aver scoperto la divulgazione di circa 420mila password cifrate provenienti dal database del suo sito di domande e risposte.
Claudio Tamburrino
Fonte: Punto Informatico (http://punto-informatico.it/3560960/PI/News/yahoo-400mila-password-circolazione.aspx)
Pubblicate le credenziali di accesso in chiaro degli utenti. In segno di protesta per la mancanza di sicurezza. Nei guai anche Formspring: che ha deciso di far cambiare password a tutti i suoi utenti
Roma - Divulgati (http://news.cnet.com/8301-1009_3-57470786-83/hackers-post-450k-credentials-apparently-pilfered-from-yahoo/) attraverso il sito di hacking D33D Company più di 450mila nomi utenti e password di utenti Yahoo!.
Le credenziali di accesso sono state postate (https://d33ds.co/archive/yahoo-disclosure.txt) non cifrate, come sembra fossero conservate, e sarebbero originarie di un sottodominio di Yahoo!, apparentemente legato (https://www.trustedsec.com/july-2012/yahoo-voice-website-breached-400000-compromised/) alla piattaforma Yahoo! Voices già nota come Associated Content.
Coloro che hanno rivendicato l'offensiva riferiscono di aver usato un semplice attacco (http://punto-informatico.it/cerca.aspx?s=SQL+injection&t=4) di tipo SQL injection che gli ha permesso di penetrare il sistema senza troppe difficoltà. Gli hacker hanno detto (http://www.forbes.com/sites/andygreenberg/2012/07/12/hackers-spill-more-than-450000-email-addresses-and-passwords-blame-a-yahoo-database-vulnerability/) di aver pubblicato i dati così ottenuti per "dare una svegliata" alle aziende responsabili della sicurezza dei dati di così tanti utenti: "Sono stati individuati numerose vulnerabilità nei webserver di Yahoo!, molte delle quali già sfruttate hanno provocato più danni del nostro attacco". Insomma, non si tratterebbe di una minaccia per Yahoo!, ma di una sorta di invito a fare decisamente meglio nell'interesse dei netizen che si affidano ai suoi servizi.
Yahoo!, in particolare per il suo servizio di mail mobile, già nei giorni scorsi è stata chiamata in causa (http://punto-informatico.it/3556853/PI/News/android-botnet-smentire.aspx) nel caso relativo alla botnet spam che sembrava sfruttare Android.
Il sito in viola, d'altronde, non è l'unico ad avere problemi di sicurezza: da ultima anche la piattaforma di social sharing (http://www.formspring.me/) Formspring si è vista costretta (http://news.cnet.com/8301-1009_3-57469944-83/formspring-disables-user-passwords-in-security-breach/) a disabilitare le password di tutti i suoi utenti dopo aver scoperto la divulgazione di circa 420mila password cifrate provenienti dal database del suo sito di domande e risposte.
Claudio Tamburrino
Fonte: Punto Informatico (http://punto-informatico.it/3560960/PI/News/yahoo-400mila-password-circolazione.aspx)