zeftera.ru.

«Яху» заштопала брешь, из-за которой утекли 450 000 паролей

«Яху»! Компания «Яху» рассказала, что ее эксперты убрали уязвимости, которые раньше позволили взломщиками похитить не менее 450 000 пользовательских логинов и паролей.

// CyberSecurity.ru // — Вместе с этим, «Яху» продемонстрировала больше информации о паролях, которые были скомпрометированы. «Мы убрали уязвимости и открыли особые меры предосторожности, касающиеся потерпевших в итоге утечки клиентов», — сообщили в «Яху».

Также организация сообщила, что сделала некоторые особые меры, нацеленные на извещение клиентов и предупреждение таких конфликтов в дальнейшем. В то же самое время, в «Яху» отказались докладывать какие-нибудь точные компоненты касающиеся атаки, и того, когда и кем она могла быть проведена.

Напоминаем, что «Яху» доказала сам факт атаки еще в прошлый понедельник, а хакерская команда D33Ds Company приняла на себя обязанность за нападение, заявив, что взломаны компьютеры компании были с помощью стандартной атаки вида SQL-инъекция. По сведениям самих взломщиков, у них в руках были данные о 453 000 пользователях.

В «Яху» позднее доказали, что похищенные аккаунты были сопряжены с клиентами, оформленными в «Яху» Contributor Network. Данная технология представляет из себя платформу для генерации высокотраффикового текста с помощью статьи в открытом доступе разных пользовательских данных — вестей, историй, повествований, фото и прочих. Клиенты «Яху» Contributor Network также могут технологию соединенной идентификации с «Яху», Google и Фейсбук ID. «Яху» Contributor Network (раньше представлявшаяся Associated Content) была образована в 2005 году, но «Яху» она стала принадлежать лишь после сделки в начале мая 2010 года, когда «Яху» Contributor Network была приобретена за 100 млрд долларов США.

Как удостоверили в «Яху», взломщикам достались только те пароли, что принадлежали оформленным до 2010 года пользоваателям. Эти пароли держались в автономном документе и не были сопряжены с другими сервисами компании. По данным Рапид7, около 23,6% аккаунтов, очутившихся у взломщиков, были сопряжены с Gmail-адресами, немного не менее 12% — с Hotmail. Помимо этого, в руках взломщиков были 123 адреса в государственном домене Gov и 235 в боевом .mil. Помимо этого, тут были адреса в домене Федеральное бюро расследований США, Регулирования внешней безопасности и североамериканского Министерства транспорта.

«Меня впечатлил этот конфликт. «Яху» это организация не того масштаба, чтобы допускать такие ляпы. Если такой конфликт случился с «Яху» Voices, то где гарантия, что послезавтра аналогичные ляпы не будут замечены и в иных сервисах компании?» — говорит Тони Перез, операционный генеральный директор компании Sucuri, формирующей ИТ-приложения для восточных оборонных поставщиков.

«Если утечка информации на самом деле имела место, то это солидное упущение со стороны «Яху», потому сегодня первостепенной целью компании считается регулирование образовавшейся обстановки с клиентами. Действительно, неприятность намного выше. Такая крупная утечка пользовательских паролей может иметь не менее солидные результаты, в связи с тем что люди довольно часто применяют один пароль для входа на несколько аккаунтов. Чтобы действенно сохранять данные, компании должны заострять внимание клиентов на их подход к работе с паролями: для любого аккаунта должен быть изобретен автономный качественный пароль. Перенимая передовой опыт обороны информации, компании должны зашифровывать секретную информацию на компьютере, а ключи безопасности держать за пределами онлайн среды. Сегодня компании не в состоянии не зашифровывать всю секретную информацию, потому они обязаны следовать основным принципам обороны данных, иначе есть риск потерять доверие заказчиков», — говорит Сергей Металлургов, генеральный директор компании SafeNet в РФ и СНГ.

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>