Und unsere (fast) tägliche Passwortveröffentlichung gibt uns heute: Yahoo. Über 400.000 Usernamen inklusive der dazu gehörenden Klartext-Passwörter von Yahoo-Usern wurden veröffentlicht. Betroffen sind vermutlich die Nutzer von Yahoo Voice, einem VoIP-Service, den Yahoo in Zusammenarbeit mit Jajah betreibt. Erschreckend an diesem Fall ist weniger die Tatsache, dass in Server von Yahoo eingebrochen wurde – absolute Sicherheit gibt es nun mal nicht – sondern vor allem, wie leicht es war an die Passwörter zu kommen, die im ausgelesenen DSQL-Dump unverschlüsselt gespeichert wurden.
The most alarming part to the entire story was the fact that the passwords were stored completely unencrypted and the full 400,000+ usernames and passwords are now public. The method for the compromise was apparently a SQL Injection attack to extract the sensitive information from the database.
Da noch nicht sicher ist, dass es sich bei den Accounts nur um Nutzer des VoIP-Dienstes von Yahoo handelt, sollten sicherheitshalber alle Yahoo-User ihr Passwort ändern und sicher stellen, dass sie dieses Passwort nicht auch für andere Dienste verwenden. Die Vermutung von Yahoo Voice als Quelle der Userdaten basiert auf dem im Datenbank-Dump auftauchenden Domainnamen „dbb1.ac.bf1.yahoo.com“, der zu diesem Dienst gehört.
Quellen: The Next Web, arstechnica, TrustedSec
