北京时间7月13日消息,据外电报道,雅虎被黑客攻击,公司正在调查,40多万个用户ID泄露,当中5%是有效密码。
美国安全公司Trustedsec表示,攻击来自于与雅虎语音(Voices)相连的服务器。消息称,D33DS组织是攻击的幕后主脑。
在攻击后数小时,雅虎在网站发出警告。雅虎在声明中说:“目前正在调查雅虎用户ID威胁。”它建议用户按时修改密码。雅虎不清楚网络哪个部分受影响。
雅虎新闻发言人告诉BBC,问题来自雅虎语音服务,它是一个IP电话话服务。从提供的细节文件来看,没有写明哪些雅虎服务受到攻击。
Trustedsec声称,受威胁的雅虎密码信息中,包括了一些邮箱地址,来自Yahoo.com、Gmail.com和Aol.com。黑客采用SQL资料隐码攻击从数据库中提取敏感信息。安全公司Trustedsec在博客中说:“整个事故最让人警醒的是密码没有加密。”
安全专家认为,泄露的资料可能包括个人信息,如名字、地址、手机号、生日等。
D33DS提供一份纯文本密码,共用45.3492个雅虎帐户,有2700个数据库表格或者列名,有298个MySQL变量。D33DS声称自己采用SQL资料隐码攻击获得数据,攻击的对象是一个未透露的雅虎子域名。安全专家证实为雅虎语音。
D33DS声称:“我们希望相关方对这些子域名的管理负责,将此事件当成警钟,而不是一个威胁。雅虎旗下的服务器有许多安全漏洞,它引起的损害比我们披露的多很多。请不要忽视。子域名、易受攻击的变量没有披露,以避免进一步的威胁。”
