Proponha uma correção, faça uma sugestão
Dados de utilizadores do Yahoo comprometidos
Mais de 400 mil contas comprometidas...
A importância da segurança dos nossos dados na Internet não deve ser nunca descurada. Para além das normais técnicas que envolvem a escolha de passwords seguras e complexas, as empresas que prestam esses serviços devem garantir mecanismos que mantenham seguros esses mesmos dados.
Depois da quebra de segurança que o LinkedIn teve, hoje foi anunciada mais um comprometimento. A Yahoo teve os dados de 400 mil utilizadores expostos e publicados, o que revela uma gravissima falha de segurança.
A informação do comprometimento destes dados foi dada pela própria Yahoo que anunciou e confirmou que no início desta semana os dados de 400 mil utilizadores foram roubados de um dos seus servidores.
Os dados estiveram publicados algum tempo na Internet e estavam disponíveis de forma transparente, sem qualquer tipo de cifra, o que revela que estes podem ser usados em qualquer altura e sem necessidade de qualquer processamento adicional, tal como aconteceu no caso do LinkedIn.
Os responsáveis pelo furto dos dados incluíram na sua publicação uma mensagem que alertava os gestores dos serviços do Yahoo para os problemas existentes e pediam para estes encararem esta acção como um alerta e não como uma ameaça.
“We hope that the parties responsible for managing the security of this subdomain will take this as a wake-up call, and not as a threat.
There have been many security holes exploited in Web servers belonging to Yahoo Inc. that have caused far greater damage than our disclosure. Please do not take them lightly.
The subdomain and vulnerable parameters have not been posted to avoid further damage.”
Os dados que estiveram públicos, e que posteriormente foram analisados com grande detalhe e pormenor permitiram confirmar uma dúvida que existia. Esses dados não se limitam aos usernames e password dos serviços da Yahoo mas também de outros, como o Gmail, AOL, Hotmail, Comcast, MSN, SBC Global, Verizon, BellSouth e Live.com.
A Yahoo, num comunicado emitido garante que está a tratar de aplicar as soluções necessárias aos seus serviços para que estas situações não se repitam e para que os utilizadores afectados não vejam os seus dados comprometidos, com base na informação que foi publicada.
At Yahoo! we take security very seriously and invest heavily in protective measures to ensure the security of our users and their data across all our products.
We confirm that an older file from Yahoo! Contributor Network (previously Associated Content) containing approximately 400,000 Yahoo! and other company users names and passwords was stolen yesterday,July 11.
Of these, less than 5% of the Yahoo! accounts had valid passwords. We are fixing the vulnerability that led to the disclosure of this data, changing the passwords of the affected Yahoo! users and notifying the companies whose users accounts may have been compromised.
We apologize to affected users. We encourage users to change their passwords on a regular basis and also familiarize themselves with our online safety tips at security.yahoo.com.
Como resultado desta quebra, uma das empresas que teve acesso aos dados e que os analisou disponibilizou já uma página onde podem verificar se os vossos endereços foram comprometidos. A página onde podem fazer essa verificação está neste endereço.
O conselho que pode para já ser dado a todos os utilizadores é que alterem, mais uma vez, as suas passwords, por forma a evitar problemas. Devem também seguir as habituais medidas de segurança que são amplamente divulgadas nestas situações. A escolha de passwords fortes é a mais importante delas e a mudança de todas as passwords associadas aos serviços onde esses usernames sejam usados, mesmo que estejam fora do serviço que foi comprometido.
Homepage: Yahoo
Este artigo tem mais de um ano
Loading ...
Os hacks são quase sempre os mesmos…. SQL injection. Já era tempo de escreverem código em condições.
Então guardar passwords em “plain text”… nem há comentário!
Por acaso, e pelo que li, nem foi esse o caso.
Os dados estavam num ficheiro que estava dentro de um servidor por onde entraram.
O mais curioso foi que uma percentagem grande das passwords era o famoso 1234567 e outras que tal.
Hum não sei não…. até porque o que eles dizem:
“The subdomain and vulnerable parameters have not been posted to avoid further damage.” bate certo com SQL Injection.
E basta fazer uma pesquisa no google por “yahoo SQL injection d33ds” que todos os sites apontam para o mesmo.
Neste caso, a ser verdade que as password estavam no seu estado puro, é indiferente ser 1234567 ou 2Qu&sBHQPV
Ainda bem que disponilizaram a página para verificar se o endereço foi comprometido. Felizmente não afectou o meu mas vou mudar a password, pelo sim pelo não, até porque faço login com o Yahoo ID em outros serviços associados.
A propósito destas situações, nunca é demais recomendar um gestor de passwords com protecção criptográfica, como é o caso do Keepass Password Manager, além de ser uma óptima forma de manter o rasto de todos os registos feitos online e até offline, é essencial para desocupar a nossa memória e aliviar algumas precupações, assegurando-se que cada serviço tem a sua própria senha de qualidade e que do lado do utilizador seja o mais difícil possível invadir as suas contas. Claro que isto de pouco ou nada serve quando ocorrem falhas de segurança nos próprios serviços mas pelo menos vale por não ter que lembrar e escrever as passwords constantemente…
Mais uns: http://www.nvidia.com/content/forums/index.html
Quando isto acontecer nos serviços da Google é que vai ser… Esperemos que nunca aconteça!!!
Tendo em conta que sou cliente Yahoo! desde 1997 posso dizer que estou assustado…
Como utilizador do Yahoo! desde 2005, sobretudo devido ao excelente serviço de e-mail, também fiquei assustado. Felizmente, já verifiquei o link que forneceram e não fui afectado. Mas este tipo de incidentes estão a tornar-se cada vez mais frequentes e não há serviço que escape.
O problema é que há endereços que foram de facto “roubados” e que não são identificados nesta página: eu já sei de 4
Chamo aqui a atenção de não se tornar hábito confiar plenamente nestas informações que nos levam a usar outros endereços para confirmar se o nosso email foi comprometido.
Isto porque alguém de má fé se quiser lançar um aviso destes de forma a levar os utilizadores a confirmar, estará assim na pior das possibilidades a fornecer o seu endereço de email para poder fazer parte de listagens de email para spam.
Algo que já não poderia acontecer com um bom sistema como está explicado em: http://facebook.com/Redin.P2T, mas claro que vindo de mim, isso será suspeito… LOL
Graças a Deus nunca confiei na yahoo, portanto tasse bem 😉