Независимые эксперты по безопасности говорят, что вчерашний инцидент, связанный с утечкой 450 000 логинов и паролей пользователей сервисов Yahoo - это в чистом виде вина ИТ-администраторов интернет-компании, которые не потрудились соблюсти даже базовых требований по безопасности, чтобы защитить пользовательскую информацию. Больше всего критики у экспертов вызывает то обстоятельство, что столь крупная интернет-компания не смогла должным образом зашифровать пароли, хранимые в базе данных. "Определенно, это слабая система безопасности, это даже не безопасность 101", - говорит Маркус Кери, специалист по информационной безопасности компании Rapid 7. Как стало известно, хакеры похитили данные примерно 450 000 пользователей из Yahoo Contributor Network, однако в компании заявили, что из этого числа рабочими по сей день являются около 5% логинов и паролей. "Мы предпринимаем немедленные действия для устранения уязвисмости: меняем пароли, закрываем бреши в системе безопасности и оповещаем пользователей", - заявили в компании. Дамп данных был размещен на одном из публичных сайтов группой хакеров, именующих себя D33Ds Company. В данных D33Ds Company говорится, что они получили доступ к одному из поддоменов Yahoo и при помощи методики SQL-инъекции получили расширенный доступ к системе, где хранятся пользовательские данные. Технически, при помощи полученных данных хакеры могли бы использовать бек-энд серверы Yahoo для выдачи большого объема пользовательской информации. В подтверждении своих слов хакеры опубликовали не только 453 492 аккаунта Yahoo, но и более 2700 других записей из баз данных, а также 298 MySQL-переменных, которые можно использовать для дальнейшей незаконной работы во взломанной системе. "Мы надеемся, что лица, ответственные за управление системами безопасности этого домена, примут соответствующие меры. Там есть множество пробелов в системе безопасности, которые можно эксплуатировать в незаконных целях", - говорится в сообщении хакеров. По неофициальным данным, хакерам удалось получить доступ к Yahoo Voice и серверу на домене dbb1.ac.bf1.yahoo.com По словам Кери, дополнительная угроза, связанная с данным инцидентом кроется еще и в том, что многие из пострадавших пользователей работали с точно такими же реквизитами в Gmail, AOL, Hotmail и других ресурсах. "Меня удивил данный инцидент. Yahoo это компания не того масштаба, чтобы допускать такие ляпы. Если такой инцидент произошел с Yahoo Voices, то где гарантия, что завтра такие же ляпы не будут обнаружены и в других сервисах компании?" - говорит Тони Перез, операционный директор компании Sucuri, создающей ИТ-приложения для западных оборонных подрядчиков. (11:23) 13.07.2012 http://cybersecurity.ru/crypto/155336.html