據(jù)國外媒體報(bào)道,目前黑客們公布的類似用戶登陸賬號(hào)的認(rèn)證信息至少有45.3萬份,黑客們稱,他們檢索了來自雅虎一些未識(shí)別的服務(wù)器上的資料,之后便得到了這些信息。
目前,這些信息已在由黑客聯(lián)盟組成的D33D公司的公共網(wǎng)站上公布。黑客們利用特殊的SQL注入方式滲透到雅虎網(wǎng)站的子區(qū)域中以獲取信息。該技術(shù)專門針對一些安全性較差的網(wǎng)站應(yīng)用程序進(jìn)行攻擊,這些程序并不仔細(xì)檢查進(jìn)入搜索框和其他用戶輸入欄的文本。通過向其注入有效地?cái)?shù)據(jù)庫指令,攻擊者便可欺騙后端服務(wù)器,還可向其信息轉(zhuǎn)儲(chǔ)大量的敏感信息。
為了支持此項(xiàng)聲明,黑客們公布了他們聲稱的雅虎45.34萬名用戶的認(rèn)證信息,還有超過2700個(gè)數(shù)據(jù)庫表或數(shù)據(jù)庫表列的姓名以及298個(gè)MySQL變量。他們稱,以上內(nèi)容均是在此次入侵行動(dòng)中獲得的。
據(jù)悉,在信息之后,黑客們寫了一份簡短的便條稱:“我們希望此次行為能對負(fù)責(zé)管理該子區(qū)域的相關(guān)部門敲響警鐘,而非威脅。雅虎網(wǎng)絡(luò)服務(wù)器的安全漏洞實(shí)在太多了!這將會(huì)造成比這次更大的損失。千萬別小看他們。目前還未公布子區(qū)域和脆弱的參數(shù)名稱,以避免進(jìn)一步損失。”
目前,媒體還未能獲得雅虎方面相關(guān)人士就此事件作出評論。據(jù)TrustedSec網(wǎng)站報(bào)道,被攻擊的雅虎子區(qū)域可能是Yahoo Voice,又叫做Associated Content。
京公網(wǎng)安備 11010502049343號(hào)