«Εγερτήριο σάλπισμα» για την ασφάλεια της διαδικτυακής πύλης Yahoo! υποστηρίζει ότι σήμανε ομάδα χάκερ η οποία δημοσιοποίησε περισσότερα από 400.000 μη κρυπτογραφημένα ονόματα και κωδικούς εισόδου εγγεγραμμένων χρηστών που υπέκλεψε το βράδυ της 11ης Ιουλίου. Για την εισβολή, η D33Ds Company έκανε μια (θανατηφόρα) «ένεση SQL» στους διακομιστές της γνωστής πύλης. Τα προβλήματα που έχουν ήδη δημιουργήσει τα κενά ασφάλειας στους Web server της Yahoo είναι πολύ μεγαλύτερα από αυτό που προκαλεί η δική μας δημοσιοποίηση e-mail και κωδικών, ανέφεραν στο μήνυμά τους οι εισβολείς που αναμεταδίδει το Forbes.com. Η μέθοδος που χρησιμοποίησαν ονομάζεται SQL injection.
Oι επιθέσεις με «ενέσεις SQL» διενεργούνται με την εισαγωγή εντολών της γλώσσας επερωτήσεων SQL σε πεδίο μιας διαδικτυακής φόρμας που υπάρχει στο δικτυακό τόπο-στόχο. Σκοπός τους είναι να εκτελεστούν οι μη εξουσιοδοτημένες εντολές τους στην βάση δεδομένων που βρίσκεται πίσω από την διαδικτυακή φόρμα.
Μετά την εξέταση από όσα δημοσιεύτηκαν από την ομάδα των εισβολέων, η εταιρεία TrustedSec δημοσιεύει ότι η μη εξουσιοδοτημένη πρόσβαση αφορούσε στην υπηρεσία Yahoo! Voices. Σε αυτή την υπηρεσία εγγράφονται μέλη του Yahoo! που συνεισφέρουν κείμενα. Επίσης, διευκρινίζεται ότι τα e-mail και password που δημοσιεύονται από τους εισβολές δεν προέρχονται αποκλειστικά από συνδρομητές του Yahoo! Mail, αλλά και από άλλες υπηρεσίες, όπως το Gmail και το Hotmail.
Μετά την δημοσιοποίηση της λίστας, προτείνεται στους χρήστες που φοβούνται ότι ανάμεσά τους βρίσκεται και το δικό τους e-mail, να αλλάξουν όχι μόνο τον κωδικό τους για την πρόσβαση στο ηλεκτρονικό τους ταχυδρομείο στο Υahoo! αλλά και σε άλλες υπηρεσίες, όπου χρησιμοποιούν τον ίδιο κωδικό, όπως συμβαίνει συχνά, παρά τις προειδοποιήσεις για τους κινδύνους που απορρέουν από αυτή την πρακτική.
Η λίστα των e-mail (με περισσότερες από 400.000 εγγραφές) είναι εκτενής και δημοσιεύεται υπό μορφή αρχείου κειμένου .txt στον δικτυακό τόπο της ομάδας D33Ds.
Πηγή: tech.in.gr