Yahoo! ha sido hackeado y ahora quienes sufren son 453.000 usuarios cuyos datos de login han sido expuestos al aire libre en una página pública en un texto plano. Ya hay quienes se adjudican el ataque y explican que a pesar de su culpabilidad, la responsabilidad es de Yahoo! por no proteger como se debe a sus usuarios.
En esta nueva incursión hacker al mundo robinhoodeano de la denuncia basada en la acción, un grupo de hackers pertenecientes a la comunidad D33Ds Company se han adjudicado el ataque a Yahoo! que ha dejado 453.000 credenciales de Yahoo! Voice expuestas para que todo el mundo las vea. Pero claro, el motivo no pareciera ser meramente el de dañar a los usuarios, sino denunciar la irresponsabilidad de Yahoo!
Inyección de SQL
Todo comenzó con un ataque basado en inyección de SQL. Esta es una técnica que se utiliza generalmente para ingresar comandos de base de datos en campo de texto o de búsqueda. Algo tan simple y tan prehistóricamente conocido por las compañías es lo que hizo sudar a Yahoo!. Cuando alguien de soporte técnico fue avisado de la fuga de nada más y nada menos que 453.492 credenciales de usuarios expuestas en un sitio de acceso público a través de un texto plano, tal y como las habían robado de las bases de datos de Yahoo!. Los hackers, luego de utilizar el exploit y tener acceso a las bases de datos de Yahoo! se hicieron con 2700 tablas de nombres con 298 variables de MySQL.
Curioso es que el descubrimiento del origen de la base de datos se haya dado por una línea de código que incluía “dbb1.ac.bf1.yahoo.com”, indicando que el subdominio está emparentado con Yahoo! Voice. Según los responsables del ataque, esta intervención sobre la seguridad de Yahoo! Inc. No debería ser interpretada como un ataque, sino como un “llamado de atención” ante la irresponsabilidad de la compañía al no tener cifradas las contraseñas de sus usuarios y al ser fácilmente explotable a través de una técnica que en términos de prevención debería ser evitada con facilidad. De hecho, dicen los hackers en el mismo comunicado, que el origen del subdominio y otros parámetros vulnerables no han sido expuestos para prevenir un daño mayor.
Publicado por Daniel Maldonado
Inyección de SQL
Todo comenzó con un ataque basado en inyección de SQL. Esta es una técnica que se utiliza generalmente para ingresar comandos de base de datos en campo de texto o de búsqueda. Algo tan simple y tan prehistóricamente conocido por las compañías es lo que hizo sudar a Yahoo!. Cuando alguien de soporte técnico fue avisado de la fuga de nada más y nada menos que 453.492 credenciales de usuarios expuestas en un sitio de acceso público a través de un texto plano, tal y como las habían robado de las bases de datos de Yahoo!. Los hackers, luego de utilizar el exploit y tener acceso a las bases de datos de Yahoo! se hicieron con 2700 tablas de nombres con 298 variables de MySQL.
Curioso es que el descubrimiento del origen de la base de datos se haya dado por una línea de código que incluía “dbb1.ac.bf1.yahoo.com”, indicando que el subdominio está emparentado con Yahoo! Voice. Según los responsables del ataque, esta intervención sobre la seguridad de Yahoo! Inc. No debería ser interpretada como un ataque, sino como un “llamado de atención” ante la irresponsabilidad de la compañía al no tener cifradas las contraseñas de sus usuarios y al ser fácilmente explotable a través de una técnica que en términos de prevención debería ser evitada con facilidad. De hecho, dicen los hackers en el mismo comunicado, que el origen del subdominio y otros parámetros vulnerables no han sido expuestos para prevenir un daño mayor.
Publicado por Daniel Maldonado
Entradas
0 Comentarios:
Publicar un comentario