Главное меню справа

Похищены данные 450 тысяч пользователей популярной почтовой службы

15-10-2011
Одна из старейших и крупнейших Интернет-компаний в США признала утечку данных о почтовых ящиках своих пользователей. Неизвестные злоумышленники, называющие себя группой D33DS Co., выложили в открытый доступ имена и пароли пользователей порядка 450 000 пользователей. Таким образом, кибер-преступникам удалось скомпрометировать почтовые ящики почти полумиллиона пользователей. Предположительно, похищение паролей было совершено с помощью атаки, известной под названием «SQL-инъекция», когда злоумышленник отдает команды СУБД веб-сайта, присоединяя запросы к адресной строке.

По признанию компании Yahoo, пароли были похищены через вспомогательную сеть под названием Contributor Network, ранее известную под названием Associated Content.

Технически сервис Yahoo Contributor Network представляет собой площадку для публикации контента, причем авторы контента получают вознаграждение в соответствии с измеренной реакцией посетителей (в частности, по количеству «хитов»). Компания Yahoo приобрела этот сервис у компании Associated Content еще в 2010 году. Специалисты по компьютерной безопасности из фирмы TrustedSec определили, что вторжение хакеров производилось на сайте Yahoo Voices, который является одним из интерфейсов к сервису Yahoo Contributor Network.

Фирма TrustedSec настоятельно рекомендует всем пользователям электронной почты от Yahoo немедленно сменить пароли. Тем не менее, утечка данных с серверов Yahoo не ограничивается именами и паролями пользователей для собственных почтовых ящиков Yahoo. Насколько известно, в открытом доступе также оказались регистрационные данные пользователей для ящиков в других доменах, в том числе, на сайтах Hotmail.com, AOL.com и Gmail.com.

Целый ряд авторитетных экспертов, в том числе, из компаний McAfee, Imperva и других, указали, что первопричиной утечки являются недостаточные меры безопасности. Например, часть паролей извлекалась из базы данных в незашифрованном виде, что уже является грубейшим нарушением (при наличии открытых и шифрованных паролей в одной выдаче злоумышленник, кроме всего прочего, может полностью вскрыть схему шифрования). С другой стороны, это может быть вина не столько самой компании Yahoo, сколько прежних владельцев системы Associated Content. Как бы то ни было, атака оказалась очень похожей по сценарию на недавние инциденты с утечкой данных на сайте знакомств eHarmony, а также на сайте LinkedIn для подбора вакансий и специалистов. Еще одно обстоятельство, которое вскрылось в результате утечки: многие пользователи до сих пор используют абсолютно нестойкие пароли вроде «123456» или «password». Это также указывает на слабый контроль паролей со стороны внутренних систем сервера.

Филип Либерман (Philip Lieberman) из компании Lieberman Software отмечает, что еще один фактор риска заключается в использовании бесплатной СУБД mySQL, в которой отсутствуют некоторые защитные функции, обязательные для промышленных СУБД. Кроме того, разработчики системы, напрямую связанной с основными базами данных Yahoo не позаботились ни о сплошном шифровании, ни хэшировании паролей – эти меры могли хотя бы частично смягчить последствия взлома. В итоге, как и в недавнем взломе сетей Sony PlayStation Network и Qriocity, владельцы систем, обслуживающих персональные данные, пошли по самому дешевому пути, используя бесплатные инструменты без коммерческих и проверенных технологий шифрования. По замечаниям экспертов, хотя после взлома сети Sony прошло более года, 59% пользователей продолжают использовать те же одинаковые пароли на другие сервисах, в том числе, на сервисе Yahoo! Voices. Стоит лишний раз напомнить, что на разных сайтах лучше использовать разные пароли, избегать легко угадываемых паролей и периодически менять пароли.

По материалам сайтов RedmondMag, The Verge и PC World.

Новости

все
25.07.2012
Главный инспектор аэрокосмического агентства США, НАСА, сообщил о расследовании скандального
24.07.2012
Анонсированы Leica M9 и X1: карманный FF и APS-C с фиксом Для тех, кто не желает таскать с
23.07.2012
Скоро беспроводная сеть позволит посмотреть сквозь стену? Видеть сквозь препятствия –

Реклама

скидки до 50 на заказ контрольных работ рефератов курсовых

Дизайны

Разработали структуру сайта, создали сайт, соответствующий всем требованиям заказчика. Создали
Разработали структуру сайта, создали сайт по новым технологиям. Создали индивидуальный и
ООО Транспортная Компания «ТрансРусь» предлагает Вам свои услуги по приемке и