Yahoo dalším z velkých serverů, kterému unikla hesla uživatelů

Při průniku do zabezpečení serveru Yahoo se útočníci zmocnili 450 tisíc uživatelských jmen a hesel. Vyšlo tak najevo, jak chabě je celý server zabezpečen, protože neučinil ani základní opatření k ochraně přístupových údajů svých uživatelů.

Bezpečnostní odborníci se především pozastavují nad tím, že hesla mohla být v databázi uložena v nezašifrovaném stavu. To je sice s rostoucím výkonem výpočetní techniky čím dál menší překážka, odradí ale přinejmenším méně zkušené a vybavené útočníky. „Je to opravdu velmi špatné zabezpečení,“ prohlásil například Marcus Carey ze společnosti Rapid7. „Tohle není porušení bezpečnosti, ale už základního pravidla vývoje aplikací,“ dodal.

Yahoo prozatím na dotazy neodpovídá, pouze potvrdil, že ve středu skutečně přišel o údaje 450 tisíc svých uživatelů. Podle společnosti šlo o „starší seznam“, který byl odcizen ze sítě Contributor Network, což je jedna část z rozsáhlého konglomerátů webových služeb provozovaných společností. Členy této sítě přispěvatelů jsou nezávislí novináři, kteří píší obsah pro online magazín Yahoo Voices. Tato síť vznikla po akvizici společnosti Associated Content.

Podle vyjádření Yahoo obsahuje stará databáze necelých 5 % platných hesel. „Podnikáme potřebné kroky k nápravě chyby, která způsobila únik dat, měníme hesla dotčených uživatelů a upozorňujeme společnosti, jejichž uživatelské účty mohly být vyzrazeny,“ uvádí se v oficiálním prohlášení. Průnik může ovlivnit i další služby, protože uživatelé se do sítě přispěvatelů mohli registrovat i pomocí účtů Google, MS Live, AOL, Comcast a Verizon.

K průniku se přihlásila skupina hackerů D33Ds Company, která údajně využila celkem běžný útok pomocí „SQL injection“, tedy podvržení dotazů SQL do dat klienta zadaných do webového formuláře nebo webové adresy, které server umožní vykonat. Útočníci se takto napojili na databázi, která obsahuje data používaná na webu Contributor Network.

Objem dat, o který Yahoo přišel, sice pokulhává za nedávnou ztrátou dat uživatelů profesní sociální sítě LinkedIn, jejích 6,5 milionu uživatelských účtů ale mělo alespoň zašifrovaná data.