Per dimostrare quanto i provider siano vulnerabili e le protezioni delle informazioni scadenti, alcuni sconosciuti hanno reso pubbliche le credenziali di accesso ai servizi di Yahoo! di quasi mezzo milione di utenti.
Oltre 450.000 credenziali d’accesso collegate ad altrettanti
account utente di Yahoo! sono state pubblicate sul web da parte di
sconosciuti. Le password sottratte sarebbero state pubblicate, stando alle
dichiarazioni diffuse dai responsabili dell’operazione, con l’intento di
mostrare come anche i provider siano in qualche modo attaccabili e come le
coppie nomi utenti-password siano evidentemente poco protette.
Stando ad alcuni indizi, gli
aggressori avrebbero preso di mira “Yahoo! Voices“, un
servizio che riunisce, sotto un unico ombrello, migliaia di contenuti
pubblicati sul network dell’azienda da parte degli utenti.
Per mettere le mani sulle password altrui, chi ha messo in piedi
quella che viene definita “un’azione dimostrativa”, avrebbe sferrato
un attacco di tipo SQL injection verso un’applicazione web di Yahoo!.
Si chiama “SQL injection” una particolare pratica di
attacco che mira a colpire applicazioni web che si appoggiano a DBMS (ad
esempio, Access, SQL Server, MySQL, Oracle e così via) per la memorizzazione e
la gestione di dati. L’attacco si concretizza quando l’aggressore riesce a
inviare alla web application, semplicemente usando il browser, una query SQL
arbitraria. Quando i dati ricevuti in ingresso dalla pagina web dinamica non
vengono opportunamente filtrati, l’interrogazione SQL posta in input
dall’aggressore – direttamente nell’URL richiamato da client -, potrebbe essere
“agganciata” alla query legittima effettuata a livello server
dall’applicazione web.
_________________________________________________
Cliccate qui e scaricate l’applicazione
gratuita Applicando+
Potrete
leggere Applicando Magazine sul vostro iPad con tutti i Focus, i Servizi, i
Test, i Tutorial e l’archivio storico della rivista
Buona
lettura con Applicando.
