Y sí. Por más que los servicios se regodeen sobre los millones de dólares que tienen encima para ofrecer seguridad, nada es impenetrable y los problemas pueden suscitarse en cualquier momento cuando una de las partes hace mal las cosas. Yahoo! ha sido hackeado y ahora quienes sufren son 453.000 usuarios cuyos datos de login han sido expuestos al aire libre en una página pública en un texto plano. Ya hay quienes se adjudican el ataque y explican que a pesar de su culpabilidad, la responsabilidad es de Yahoo! por no proteger como se debe a sus usuarios.
-
-
En el estado actual de la red, este tipo de problemáticas donde los hackers exponen las irregularidades que tiene una compañía en la protección de sus datos ya son moneda corriente. Los ejemplos que se pueden dar al respecto son muchos y podemos decir que Yahoo! está entre ellos dos o tres veces, sin olvidar la vergüenza que pasó Sony el año pasado con el hackeo pornográfico de su base de datos. En esta nueva incursión hacker al mundo robinhoodeano de la denuncia basada en la acción, un grupo de hackers pertenecientes a la comunidad D33Ds Company se han adjudicado el ataque a Yahoo! que ha dejado453.000 credenciales de Yahoo! Voice expuestas para que todo el mundo las vea. Pero claro, el motivo no pareciera ser meramente el de dañar a los usuarios, sino denunciar la irresponsabilidad de Yahoo!
Inyección de SQL
Fuente: ArsthechicaTodo comenzó con un ataque basado en inyección de SQL. Esta es una técnica que se utiliza generalmente para ingresar comandos de base de datos en campo de texto o de búsqueda. Algo tan simple y tan prehistóricamente conocido por las compañías es lo que hizo sudar a Yahoo! esta madrugada cuando alguien de soporte técnico fue avisado de la fuga de nada más y nada menos que 453.492 credenciales de usuarios expuestas en un sitio de acceso público a través de un texto plano, tal y como las habían robado de las bases de datos de Yahoo!. Los hackers, luego de utilizar el exploit y tener acceso a las bases de datos de Yahoo! se hicieron con 2700 tablas de nombres con 298 variables de MySQL.
Curioso es que el descubrimiento del origen de la base de datos se haya dado por una línea de código que incluía “dbb1.ac.bf1.yahoo.com”, indicando que el subdominio está emparentado con Yahoo! Voice. Según los responsables del ataque, esta intervención sobre la seguridad de Yahoo! Inc. No debería ser interpretada como un ataque, sino como un “llamado de atención” ante la irresponsabilidad de la compañía al no tener cifradas las contraseñas de sus usuarios y al ser fácilmente explotable a través de una técnica que en términos de prevención debería ser evitada con facilidad. De hecho, dicen los hacers en el mismo comunicado, que el origen del subdominio y otros parámetros vulnerables no han sido expuestos para prevenir un daño mayor.
-
¿Y tú, qué opinas?
-
#1
-
#2
-
#3
-
#4
-
#5
-
#6
-
#7Sucinto jueves, 12 de julio de 2012, 23:48
Lo primero me parece increíble que yahoo!Voice no tuviera las contraseñas encriptadas y me gustaría saber si esto es legal porque hoy por hoy ni la más cutre de las webs deja las contraseñas en texto plano. Yo al leer la noticia este mediodía pensé que los atacantes simplemente solo habían publicado las cuentas a las que les pudieron crackear la contraseña, pero según esta noticia estaban tal cual en la base de datos (que anda por bittorrent con el nombre de yahoo_disclosure.txt).
Lo segundo no sé cuán útil será entrar al yahoo!voice de gente ajena, pero lo peligroso es la gente que tiene la misma contraseña en su correo, ya que en el txt viene en formato email:contraseña aunque en gma... Leer más -
#8ete viernes, 13 de julio de 2012, 00:15
#7 "más de 10 caracteres alfanuméricos"... pero no ves que no importa lo "complicado" de la contraseña? tanto un keylogger como un ataque de este estilo le rompen el orto a una contraseña de milc caracteres chinos.
-
#9
JackOzz viernes, 13 de julio de 2012, 00:20Voy a compartirles un tip para la seguridad de sus cuentas que puede serles de utilidad (a mi en lo personal, me ha funcionado de maravilla, después de que mi ex me pillara mi clave y tuviera acceso a todas mis cuentas -maldita-)
Como es muy recomendable tener siempre cuentas distintas, hagan lo siguiente: utilicen una combinación de teclas compleja, uniendo números, caracteres y demás, ej: 258NeoTeo!Gollum%Ring..
y para identificar la página o servicio, utilicen 3 caracteres de la página, por ejemplo:
Skype: 258NeoTeo!Gollum%Ring..sky
Hotmail: 258NeoTeo!Gollum%Ring..hot
gmail: 258NeoTeo!Gollum%Ring..gma
De esta forma, solo tienen que memoriza... Leer más -
#10
-
#11mfpvillatoro viernes, 13 de julio de 2012, 01:21
¡ que tragedia ! ahora van a leer todo el spam que me mandan....
-
#12
-
#13
-
#14Scorpion viernes, 13 de julio de 2012, 05:25
Wow no tener las contraseñas encriptadas es absurdo. Una locura!!!. Yo hace poco hice una aplicacion de gestion de stock pedorra para un negocio y hasta ahi le mandaba que guarde el hash de la contraseña en vez de la contraseña en si. No cuesta nada. Es incomprensible que una empresa seria no haya echo siquiera esto
-
#15
-
#16Hoo69 viernes, 13 de julio de 2012, 10:51
Una posible solución a todo esto es que nos contraten a todos los que comentamos en este foro, que seguro que actuaremos mucho mejor que el responsable de seguridad en Yahoo!! jejeje (Bromas a parte)
Es para darle dos collejas al encargado de seguridad!!
Salu2 -
#17Sucinto viernes, 13 de julio de 2012, 16:54
#8 Como ya he dicho este caso es excepcional, porque encontrar las contraseñas en texto plano puede ocurrir en uno de cada 10.000 sitios hackeados. Y cuando se encriptan, cuanto más larga sea la contraseña más difícil será crackearla, porque hace falta ir probando todas las combinaciones posibles para todos los caracteres posibles, y eso apartir de los 11 caracteres, con la tecnología actual se tardaría miles de años en crackear la contraseña.
Por supuesto con contraseñas de más de 10 caracteres nos blindamos contra un ataque de este estilo (ya digo que este es una excepción) pero no contra un troyano/keylogger, que en este caso es responsabilidad tomar las precauciones necesaria... Leer más -
#18Robert viernes, 13 de julio de 2012, 18:43
#17 Eso depende en que este encriptado, en realidad "una contraseña compleja" no ayuda a cubrir nada si el sistema de encriptacion que usan es malo o tiene fallas.
Las funciones de encriptacion son funciones no-inyectivas. Es decir que la funcion siempre te devuelve una cadena de x caracteres fijos, o sea que para un mismo resultado tenes miles de combinaciones que lo dan (dado que tenes una cantidad fija de resultados posibles en la salida). Las entradas que van a un mismo resultado se llaman colisiones.
MD5, por ejemplo, tiene muchisimas colisiones y es por eso que es inseguro. Un ataque bruteforce con una maquina (hoy) normal, puede romper una encriptacion en cuesti... Leer más -
#19
-
#20Sucinto sábado, 14 de julio de 2012, 14:28
#18 Pues dime qué herramientas utilizas tu para crackear md5 en cuestión de minutos, porque a las que yo tengo les ocurre lo que he dicho...
que haya vulnerabilidades y colisiones en mi opinión no significa que enseguida vayas a encontrar una de ellas para el hash que tienes. Al fin y al cabo se tardó 13 años en encontrar colisiones en md5.
De verdad tengo mucha curiosidad por conocer esa herramienta que crackea md5 en cuestión de minutos.
De hecho yo pensaba que el "salt" se hacía para alargar las contraseñas y que fueran más difícil crackearlas... -
Cargando...
-
nuevo comentario
Nombre Campo obligatorio
Email Escriba una dirección de correo electrónico con el formato sunombre@ejemplo.com.
Campo obligatorio
-
