Oltre 450.000 credenziali d’accesso collegate ad altrettanti account utente di Yahoo! sono state da poco pubblicate sul web da parte di sconosciuti. Le password sottratte sarebbero state pubblicate, stando alle dichiarazioni diffuse dai responsabili dell’operazione, con l’intento di mostrare come anche i provider siano in qualche modo attaccabili e come le coppie nomi utenti-password siano evidentemente poco protette.
Per mettere le mani sulle password altrui, chi ha messo in piedi quella che viene definita “un’azione dimostrativa”, avrebbe sferrato un attacco di tipo SQL injection verso un’applicazione web di Yahoo!.
Si chiama “SQL injection” una particolare pratica di attacco che mira a colpire applicazioni web che si appoggiano a DBMS (ad esempio, Access, SQL Server, MySQL, Oracle e così via) per la memorizzazione e la gestione di dati. L’attacco si concretizza quando l’aggressore riesce ad inviare alla web application, semplicemente usando il browser, una query SQL arbitraria. Quando i dati ricevuti in ingresso dalla pagina web dinamica non vengono opportunamente filtrati, l’interrogazione SQL posta in input dall’aggressore – direttamente nell’URL richiamato da client -, potrebbe essere “agganciata” alla query legittima effettuata a livello server dall’applicazione web.
Stando ad alcuni indizi, l’aggressore avrebbe bersagliato il servizio “Yahoo! Voices“, un servizio che riunisce, sotto un unico ombrello, migliaia di contenuti pubblicati sul network dell’azienda da parte degli utenti. L’attacco, quindi, non sarebbe stato sferrato nei confronti del servizio VoIP “Yahoo! Voice” (senza la “s” finale), basato sulla tecnologia messa a punto da JaJah.