Hekerji razkrili pol milijona gesel uporabnikov Yahooja

Podjetje Yahoo! si je pred kratkim privoščilo zelo neprijeten spodrsljaj. Zaradi pomanjkljive zaščite njihove aplikacije je namreč spletnim nepridipravom iz hekerske skupine D33Ds uspelo izmakniti več kot 450-tisoč gesel uporabnikov njihovih storitev. Najhuje pri tem pa je nedvomno to, da je Yahoo! uporabniškega gesla hranil v čistopisu. Hekerji naj bi gesla pridobili s tako imenovano hekersko metodo SQL vstavljanje.

Pri SQL ustavljanju (ang. SQL Injection) gre za hekerski napad, kjer so nezaupanja vredni podatki poslani interpreterju oziroma tolmaču kot ukaz ali poizvedba. Podatki napadalca lahko prelisičijo interpreter na način, da ta izvede neželen ukaz ali omogoči neavtoriziran dostop do podatkov. Pri uspešno izvedenem napadu s SQL ustavljanjem napadalec dejansko doseže to, da zaobide vse dostopne pravice na aplikativnem nivoju. Tu gre za zdaleč najpogostejši napad na spletne storitve.

Nepridipravi iz hekerske skupine D33Ds so napad izvedli z namenom, da bi odgovorni za varnost pri podjetju Yahoo! ta dogodek vzeli kot poziv k ukrepanju in ne kot grožnjo. Zaradi tega hekerji pri objavi uporabniških imen in gesel niso navedli, za katero Yahoojevo spletno storitev dejansko gre. Na spletu se šušlja, da naj bi šlo za storitev Yahoo Voice, znano tudi pod imenom Associated Content. Čeprav podjetje Yahoo! napada še ni potrdil, vam priporočamo, da nemudoma zamenjate geslo, in to neglede na to, katero od Yahoojevih storitev uporabljate.