"Esperamos que las partes responsables de la gestión de la seguridad de este subdominio tomen esto como una llamada de atención y no como una amenaza", dice una nota incluida en la contraseña. "Ha habido muchos agujeros de
seguridad explotados en servidores web que pertenecen a Yahoo! que han causado un daño mucho mayor que la divulgación. Por favor, no lo tomen a la ligera. El subdominio y los parámetros vulnerables no se han publicado para evitar daños mayores."
Un portavoz de Yahoo dijo que la compañía está investigando la supuesta filtración de contraseñas. "Actualmente estamos investigando los reclamos de las identificaciones de usuarios de Yahoo! Animamos a los usuarios a cambiar sus contraseñas en una base regular y familiarizarse con nuestros consejos de seguridad en línea en security.yahoo.com", dijo "En Yahoo nos tomamos la seguridad muy en serio y una fuerte inversión en medidas de protección para garantizar la seguridad de nuestros usuarios y sus datos a través de todos nuestros productos"
De acuerdo con los investigadores de seguridad, los datos filtrados vinieron desde el servicio de "Yahoo Voices". Eso es porque, mientras que la mayoría de los detalles de los subdominios fueron extirpados de la descarga de datos, "el atacante olvidó eliminar el nombre de host 'dbb1.ac.bf1.yahoo.com'
Ataques de inyección SQL es uno de los tipos más comunes de ataques para poner en peligro los sitios web y bases de datos, y uno de los favoritos de los colectivos de hacktivismo, incluyendo Anonymous. Este tipo de ataques funcionan por "inyectar" comandos SQL en bases de datos. Cuando las bases de datos no seleccionan adecuadamente a estas entradas en busca de signos de ataque, los atacantes tienen una manera fácil de utilizar la técnica para obtener información confidencial de bases de datos. Una variedad de herramientas automatizadas de libre disposición de ataque de inyección SQL simplifica el proceso.
No hay comentarios:
Publicar un comentario