自欺欺人的违规行为将近450,000 雅虎之声 帐户密码在公司收购Web服务提供商的过程中对数据安全性实践具有令人担忧的影响。 雅虎之声服务包含公司于2011年购买的关联内容中的内容。

一组名为D33Ds Company的黑客在公共网站上发布了密码泄露事件,该黑客声称已使用基于联合的SQL注入获取了帐户和密码信息的纯文本文件,并在其中输入了错误的SQL数据库命令。网站的Web界面,以获取通常不可供公众使用的数据。

雅虎已确认该漏洞发生在其贡献者网络上,这就是该公司引用Yahoo Voices服务的方式。在一个 给TechCrunch的声明,雅虎承认该漏洞,并表示正在采取措施纠正允许SQL注入发生的漏洞。

“我们确认来自Yahoo!的较旧文件!包含约400,000 Yahoo!的贡献者网络(以前的关联内容)。以及其他公司用户名和密码在昨天(7月11日)被盗。其中,只有不到5%的Yahoo!帐户具有有效的密码。我们正在修复导致泄露此数据的漏洞,并更改了受影响的Yahoo!的密码。用户,并通知其用户帐户可能已被盗用的公司。”

有多糟糕?

雅虎的声明旨在缓解人们对实际泄露了多少有效密码的担忧,这实际上可能会引起人们的关注。 更多 问题。根据 Säkerhetsbloggen,在对违反密码的分析中共有342,478个唯一条目。

但是,雅虎5%的陈述的字面意思是什么?仅采用该漏洞中发现的基于Yahoo的域,总计便有143,040个帐户,其中实际上只有7,152个(或更少)是活动帐户。

目前尚不清楚雅虎的声明是否仅指定了雅虎帐户信息,而未在该违规行为中也未透露其余的199,438个帐户。 (《纽约时报》说 受影响的帐户还属于Gmail,AOL,Hotmail,Comcast,MSN,SBC Global,Verizon,BellSouth和Live.com用户。)即使Yahoo的声明适用于整个帐户组,仍然有超过1.7万个活跃帐户处于活跃状态。

是谁的错?

其他尚未解决的问题包括较早的关联内容数据本身的漏洞。内容服务器场是 获得的 by Yahoo in May 2011,并拥有约380,000名贡献者和每月1600万名访问者,雅虎很快以Yahoo Voices服务的形式将其添加到其产品组合中。

许多观察者指出,密码似乎是完全未加密存储的。那么,雅虎在2011年收购“关联内容”时是否也继承了安全漏洞?还是该漏洞在Yahoo托管的14个月内突然出现?

如果Yahoo在整合“关联内容”网络时未进行尽职的安全检查,那么在以后的任何收购中都要考虑这一令人不安的想法。而且,如果雅虎 做了 仔细查看关联内容的安全措施,这是Yahoo特有的问题,有多少其他Yahoo服务器仍受同一SQL漏洞影响?还有多少其他用户数据未经加密存储?

无论这些问题的答案是什么,雅虎用户–和任何Web服务的用户–每当提供服务时,都应注意其潜在的漏洞 acquired by a new owner.

图片由 快门.