一個名為D33D的駭客公司周三(7/11)公布了逾45萬筆從Yahoo竊取的帳號與密碼,Yahoo隔天即證實了此事,被駭的是專門讓自由作家出版文章、影片及照片的Yahoo Voices伺服器。

Yahoo於聲明中指出,Contributor Network上含有約45萬筆Yahoo及其他業者的使用者名稱與密碼被駭,但被駭的是老舊檔案,其中只有5%的Yahoo帳號密碼是有效的,該站已立即修補了導致資料外洩的漏洞,變更受影響的使用者密碼,並知會其他被波及的業者。

Yahoo的Contributor Network為一允許作家及攝影師分享知識及交流的園地,Yahoo Voices則用來集結相關作品,屬於Contributor Network的數位資料庫。由於Yahoo Voices允許使用者以其他業者的郵件帳號作為使用者名稱,因此駭客所公布的內容除了來自Yahoo外,還有10.6萬筆為Gmail帳號、5.5萬筆為Hotmail帳號,以及2.5萬筆的AOL郵件帳號。

D33D利用Yahoo的網頁安全漏洞並透過資料隱碼(SQL injection)技術竊取了檔案,並表示Yahoo的網站伺服器上一直有很多安全漏洞,而且能夠造成比此次更大的傷害,他們希望負責管理此一子網域安全的單位把此一公布視為警惕,而非威脅。

資安業者批評以Yahoo如此規模的網站,竟然會將使用者的帳號及密碼以明文的方式儲存,而且駭客只透過簡單的資料隱碼攻擊就得手,如果集結專業人士帳號的Yahoo Voices都這麼容易被駭,那麼Yahoo的其他服務似乎也岌岌可危。

雖然D33D很快就移除了公布帳號的網頁,不過該檔案已出現在P2P網路上,可能淪為其他駭客的目標。專門偵測惡意程式的Sucuri則開闢了一個網頁以協助使用者確認自己的帳號是否遭竊。(編譯/陳曉莉)

熱門新聞

Advertisement