Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Yahoo! przebiło wszystkich – wyciek przeszło 1 miliarda kont !
Yahoo! podniosło poprzeczkę i przyznało, że kompromitacji uległo przeszło 1 000 000 000 (miliard) kont użytkowników:
(…) unauthorized third party, in August 2013, stole data associated with more than one billion user accounts
- imiona / nazwiska
- emaile
- hashe MD5 haseł
- telefony
- daty urodzin
- dodatkowe pytania bezpieczeństwa
Co więcej, atakujący realizowali atak polegający na możliwości przygotowania ciastek, które następnie dawały dostęp na konta użytkowników bez hasła:
Forged cookies could allow an intruder to access users’ accounts without a password. Based on Yahoo’s ongoing investigation, we believe an unauthorized third party accessed our proprietary code to learn how to forge cookies.
–ms
UAU
„Based on Yahoo’s ongoing investigation, we believe an unauthorized third party accessed our proprietary code to learn how to forge cookies.”
Chyba wasz błędny kod. Czasem to nie powinno być niemożliwe bez dostępu do bazy danych?
Nie. Zależy jak są generowane cookiesy. Czasem jest tak że są szyfrowane kluczem po stronie serwera (np. zaszytym w kodzie). I jak to zdobędziesz to jesteś w stanie generować dobre ciastka nawet bez dostępu do DB.
Ale to gdybania, bo yahoo nie „pochwaliło” się szczegółami.
Czy baza już gdzieś wypłynęła? Z chęcią bym się jej przyjrzał :D