Yahoo! ha sido hackeado colgando en la red 453.492 credenciales en texto plano. Así lo ha informado la firma de seguridad Trusted Sec. en un informe que sugiere que los datos se han obtenido del servicio de llamadas de la compañía Yahoo Voice.
Lo primero que ha mostrado la firma es su preocupación por la facilidad de acceso a las mismas. Al parecer, las contraseñas se almacenaban completamente sin cifrar con lo que el resultado son esas 453.492 credenciales con sus nombres de usuario y contraseñas públicas.
Un ataque que ha sido posible a través de una inyección SQL, un ataque vía web que aprovecha errores en la filtración de datos introducidos por el sistema permitiendo a un atacante tener el control del mismo, en este caso, extrayendo la información confidencial de la base de datos.
En cuanto a los mismos, se muestran credenciales en texto plano junto a un mensaje de los atacantes donde indican que:
Se trata de una llamada de atención… no de una amenaza. Esperamos que las partes responsables de la gestión de la seguridad de este dominio tomen esto como una llamada de atención y no como una amenaza. Han existido demasiados agujeros de seguridad en servidores web que pertenecen a Yahoo! y que han causado un daño mucho mayor que esta divulgación. Por favor, no lo tomen a la ligera. Los subdominios y los parámetros vulnerables no se han publicado para evitar daños mayores.
El servicio Voice de Yahoo! funciona bajo VoIP de la compañía Jajah a raíz de un acuerdo firmado en el 2008, aún así, el problema encontrado se encuentra en el interior de Yahoo!, por lo que se cree que las credenciales era un contenido de la compañía antes de la firma con Jajah.