450 000 brukernavn og passord fra Yahoo er lekket

Hackere har frigitt en stor database fra selskapets IP-telefonitjeneste.

Hackere har i natt lagt ut en liste over 453 492 brukerkontoer fra en av tjenestene til Yahoo. Både brukernavn og passord skal ha vært lagret i klartekst, uten noen form for kryptering.

Det er sikkerhetsnettstedet TrustedSec.com som kommer med meldingen, og det skal være en hackergruppe som går under navnet D33Ds Company som står bak ugjerningen. Nøyaktig hvilken av Yahoos tjenester som er påvirket er foreløpig usikkert, men mye tyder på at det er selskapets IP-telefonitjeneste «Voices» som er rammet.

Laber sikkerhet

Angrepet føyer seg inn i en rekke av lignende datainnbrudd den siste tiden. For en drøy måned siden ble flere millioner passord stjålet fra LinkedIn, også den gangen var de dårlig kryptert.

Hackerne skal ha fått tak i brukerkontoene ved å bruke en kjent teknikk, SQL-injeksjon. Teknikken utnytter svakheter i tekstfelt der brukeren selv kan fylle inn informasjon, som e-post, adresse og passord. Ved å skrive programmeringskode i disse feltene har de fått tilgang til databasene.

Dette er en velkjent angrepsmetode. At en gigant som Yahoo ikke har sikret seg skikkelig er bekymringsfullt, og enda verre er det at de sensitive opplysningene er lagret uten kryptering.

Selv om de har lekket brukernavn og passord til mer enn 450 000 mennesker, unnskylder hackerne seg selv:

– Vi håper at partene som er ansvarlige for sikkerheten her tar dette som en oppvekker, og ikke som en trussel. Det er mange sikkerhetshull i serverne til Yahoo, som har skapt langt større skade enn det vi nå har lagt ut, skriver de i den store tekstfilen der innholdet ligger.

Yahoo har ikke kommentert hendelsen enda. Om du har vært registrert hos Yahoo Voice bør du uansett bytte passordet umiddelbart på alle tjenester du bruker det.