12 julio 2012

A través del twitter de Kevin Mitnick, me entero de la noticia de que la web del servicio Yahoo! Voice, que permite hacer llamadas gratis o a bajo precio desde el PC (como Skype...) ha sido comprometida.

Aparentemente podría tratarse de un ataque de inyección SQL, mediante el cual ha sido posible obtener más de 450,000 cuentas de usuario con sus respectivas contraseñas, entre otros datos de la base de datos. No me he equivocado, no he querido decir hashes....he dicho contraseñas.


Imagen del volcado de e-mails y contraseñas de usuarios, cortesía del blog www.trustedsec.com
El fichero completo yahoo-disclosure.txt (que se aloja actualmente en esta URL de su servidor ahora mismo saturado...) ha sido creado por el grupo D33Ds Company, e incluye además de las cuentas de usuario, variables del servidor y nombres de bases de datos, tablas y columnas de la base de datos MySQL comprometida.


Datos publicados por el grupo D33Ds Company


En una de las variables, más concretamente HOSTNAME, se indica el nombre del servidor:


Variable MySQL HOSTNAME
Cabe destacar como las contraseñas se han publicado en texto plano, no sabemos si por haber sido ya crackeadas o es que directamente....se almacenaban de esta forma...

A día de hoy y a esta primera hora de la mañana, todavía no hay respuesta por parte de Yahoo! acerca de esta información publicada, la cual personalmente, me tomo como legítima.


ACTUALIZACIÓN
Añadimos un enlace al estudio de la información de las cuentas publicadas realizado por Anders Nilsson de Eset, con análisis de contraseñas, dominios de las cuentas de correo electrónico, etc. El estudio completo se puede encontrar en este enlace de pastebin.

[+] Fuente: @kevinmitnick
[+] Hackers Spill More Than 450,000 Email Addresses And Passwords, Blame A Yahoo! Database Vulnerability (Forbes.com)
[+] Yahoo! Voice Website Breached 400,000+ Compromised (trusted-sec.com)
[+] Statistics about Yahoo leak of 450.000 plain-text accounts (blog.eset.se)

5 comments :

chencho dijo...

Pasate por correo el ficherito, no, guachi?

disclosure dijo...

Searchable list for users at http://dazzlepod.com/yahoo/

Wil dijo...

http://thepiratebay.se/torrent/7436152/yahoo-disclosure.txt

David Salinas dijo...

A que espera yahoo a hacerlo publico ?¿ por cierto el de la contraseña mercadona me ha matado

Felipe Jarenau dijo...

Estadísticas sobre la complejidad, longitud y claves más repetidas en
http://pastebin.com/H4FGzkmv