Hacking Yahoo.

Saludos Mundo Libre.

Un fallo de seguridad que expuso Yahoo 450.000 nombres de usuario y contraseñas de un sitio en el portal web de gran indica que la empresa no tomó las precauciones más básicas para proteger los datos.
Violación masiva de datos de Yahoo
Los expertos en seguridad fueron confundidos Jueves de por qué una empresa tan grande como Yahoo dejará de almacenar las contraseñas criptográficamente en su base de datos. En cambio, se quedaron en texto plano, lo que significa que un hacker podría fácilmente leerlos.
"Definitivamente, es la falta de seguridad", dijo Marcus Carey, un investigador de seguridad en Rapid7,. "No es ni siquiera la seguridad 101. Es básico el desarrollo de aplicaciones 101."
Yahoo rechazó una solicitud para una entrevista, y sólo por correo electrónico un comunicado confirmando la brecha que se produjo el miércoles. La compañía dijo que un "archivo más antiguo", que contiene unos 450.000 nombres de usuario y contraseñas fueron robados de su red de colaborador, un subconjunto de la red masiva de Yahoo de los sitios Web.
La membresía en la Red consiste Colaborador de los periodistas independientes que escriben el contenido de las voces de Yahoo. La red se creó después de 2010 de Yahoo adquisición de Associated Content.
Menos del 5 por ciento de los datos robados tenían contraseñas válidas, dijo Yahoo. "Estamos tomando una acción inmediata mediante la fijación de la vulnerabilidad que llevó a la divulgación de estos datos, cambiar las contraseñas de los usuarios de Yahoo! afectadas y notificar a las empresas cuyos usuarios cuentas hayan quedado en entredicho", dijo el comunicado.
La violación tuvo ramificaciones más allá de Yahoo, porque la gente del portal permite registrarse en la red Colaborador para utilizar las credenciales de otros sitios que entrar Carey identificado algunos de los otros sitios como Gmail de Google, Hotmail de Microsoft, AOL, Comcast y Verizon.
Un grupo de hackers llamado Compañía D33Ds tomó el crédito por el incumplimiento, y se publicará un comunicado en su sitio web diciendo que el ataque fue una advertencia. "Esperamos que las partes responsables de la gestión de la seguridad de este subdominio tomar esto como una llamada de atención, y no como una amenaza", dijo el grupo, de acuerdo a los informes de los medios de comunicación. "Ha habido muchos agujeros de seguridad explotados en servidores Web que pertenecen a Yahoo! que han causado un daño mucho mayor que la divulgación. Por favor, no tomar a la ligera."
Los hackers afirmaron utilizar un método de ataque común que se llama una inyección de SQL para acceder a la base de datos que alimenta el servidor que aloja el sitio. Una inyección SQL normalmente implica el envío de comandos a través de un campo de búsqueda o una URL para entrar en un sitio poco seguro.
Tony Pérez, director de operaciones de Sucuri, que utiliza para trabajar con los contratistas de defensa en el desarrollo de aplicaciones seguras, dijo que los lapsos de seguridad general de Yahoo eran un flaco servicio a sus usuarios. "Hace que te preguntes. Si una propiedad como Yahoo a esa escala está haciendo eso, y lo hicieron para que sus voces Yahoo, ¿cuál es la probabilidad de que también ocurre en sus otras propiedades?"
El incumplimiento Yahoo ocurrió un mes después de que la red social profesional LinkedIn reconoció que 6,5 millones de usuarios y contraseñas fueron robadas y publicadas en un foro hacker ruso. En ese caso, las contraseñas habían sido almacenados utilizando un método criptográfico llamado hashing.

Fuente:http://www.networkworld.com/news/2012/071212-yahoo-security-breach-shocks-260867.html?source=nww_rss

Traduccion:Dellcom1@.

Saludos Mundo Libre.