Hekerji dobili pol milijon gesel uporabnikov Yahoo! Voices

Matej Huš

13. jul 2012 ob 09:23:15

Hekerska skupina z vzdevkom D33ds Company je napadla Yahoojevo storitev Yahoo! Voices in pridobila uporabniška imena in gesla več kot 450.000 uporabnikov. Svoje besede so podkrepili tudi z dejanji, in sicer so pridobljene podatke javno priobčili. V tekstovni obliki so objavljena tudi gesla, kar pomeni, da jih Yahoo ni hranil šifrirano. Napadalci so zapisali, da so Yahoo želeli le opozoriti na malomarno varnost in da ne gre za grožnjo. Ali ste med prizadetimi, lahko preverite na posebej v ta namen postavljenih straneh.

Yahoo je potrdil, da se je vdor zgodil, a poizkušajo škodo prikazati kot minimalno. V izjavi za javnost so zapisali, da datoteka z ukradenimi podatki izvira s starega sistema Yahoo! Contributor Network, ki ga je Yahoo dobil s prevzemom Associated Content. Trdijo, da je med ukradenimi gesli le pet odstotkov veljavnih in da napako, ki je omogočila vdor, že odpravljajo. Po neuradnih podatkih je šlo za klasično SQL-vrivanje, ki je eden izmed najosnovnejših napadov, pred katerim bi se moral znati ubraniti vsak sposoben programer. Da so gesla hraniti nešifrirana, je drugi nerazumljiv spodrsljaj. Kljub temu vsem uporabnikom Yahoo! Voices priporočajo zamenjavo gesla za vsak primer. Pozor, Yahoo! Voices je tako imenovani content network oziroma farma z vsebino, ki ga je Yahoo dobil z nakupom Associated Contenta in nima zveze s storitvijo Yahoo Voice za pogovore prek VoIP.

Na internetu se je že pojavila analiza zbranih gesel, ki ne odkriva nič novega. Najpogostejša gesla so še vedno izjemno šibka, npr. 123456, password, welcome, abc123 itd. Izmed 442.773 gesel jih je 342.478 unikatnih, preostala pa si (nevede) deli več ljudi.