Paha tietomurto Yahoolla – ja alkeellisia virheitä
7
Yli 450 000 käyttäjän tunnukset ja salasanat on varastettu nettijätti Yahoon järjestelmistä. Mukana on myös Googlen, Microsoftin ja AOL:n käyttäjien salasanoja. Netissä ihmetellään nyt miksi Yahoo oli syyllistynyt niin alkeellisiin tietoturvan virheisiin.
Yahoo on myöntänyt ongelmat ja esittänyt anteeksipyynnön. Yhtiö selittää, että murto tapahtui Yahoo Voices -palvelussa. Murtautujat – jotka kutsuvat itseään nimellä D33Ds Co.– julkaisivat tunnukset ja salasanat julkisesti internetissä.
Yahoo tekee kirjautumisissa yhteistyötä esimerkiksi Googlen ja Microsoftin kanssa. Sen vuoksi myös niiden käyttäjätietoja ja salasanoja on varastettu.
Karkeita virheitä suojauksissa
Näyttää siltä, että Yahoo on syyllistynyt alkeellisiin virheisiin käyttäjien tietojen suojauksessa. Murtautuja sanovat, että he pääsivät järjestelmiin sql-injektiohyökkäyksellä. Tämä on yksi yleisimmistä hyökkäysmetodeista, ja sen varalle on mahdollista valmistautua tarkastamalla palvelun lähdekoodia.
Vakavampi ongelma liittyy kuitenkin salasanojen säilytykseen. Murtautujat saivat julkaistua ne melkein heti. Näyttääkin siltä, että käyttäjätunnukset ja salasanat olivat palvelimilla joko täysin salaamattomina, tai salausjärjestelyt olivat aivan liian heppoiset.
Yahoo tosin sanoo lausunnossaan, että varastettu käyttäjätunnusten tiedosto ei ollut enää tuore. Alle viidellä prosentilla sen käyttäjätunnuksia oli toimiva salasana.
Yahoo lupaa vaihtaa uhreiksi joutuneiden käyttäjien salasanat. Yhtiö lupaa myös auttaa muita murron vaikutuspiiriin joutuneita yrityksiä.
