WhiteHat News #ID:1368
WhiteHat Support
-
04/06/2014
-
0
-
110 bài viết
Trang Yahoo! Contributors Network dính lỗ hổng SQL Injection
Trang Yahoo! Contributors Network – địa chỉ để người dùng đóng góp các nội dung như ảnh, video, bài báo hay chia sẻ kiến thức với hơn 600 triệu lượt ghé thăm mỗi tháng – được phát hiện là từng dính lỗ hổng Blind SQL Injection.
Nhà nghiên cứu độc lập Behrouz Sadeghipour đã phát hiện lỗ hổng Blind SQL Injection trên website của Yahoo có thể bị tin tặc khai thác để đánh cắp cơ sở dữ liệu của người đọc và tác giả, trong đó có cả các thông tin cá nhân.
Behrouz đã báo vấn đề tới Yahoo! cách đây vài tháng và đội ngũ an ninh của hãng đã nhanh chóng tiến hành vá lỗ hổng. Dịch vụ đã bị đóng cửa do lượng người dùng sụt giảm và nội dung trên trang cũng đã bị xóa toàn bộ, tuy nhiên một số bài viết về tuyển dụng vẫn còn lưu lại.
Tháng 7/2012, trang Yahoo! Contributors Network đã từng bị các nhóm hacker “D33DS Company” và “Owned & Exposed” tấn công, lấy được 453.491 địa chỉ email và mật khẩu rồi công khai trên mạng. Điều tra cho thấy tin tặc đã sử dụng chính kỹ thuật SQL Injection để tiến hành tấn công vào thời điểm đó.
Tuy trang Contributors Network đã ngừng hoạt động và lỗ hổng cũng đã được vá nhưng người dùng từng sử dụng dịch vụ này vẫn nên cảnh giác và đổi các mật khẩu của mình đối với các tài khoản quan trọng.
Nguồn: The Hacker News
Nhà nghiên cứu độc lập Behrouz Sadeghipour đã phát hiện lỗ hổng Blind SQL Injection trên website của Yahoo có thể bị tin tặc khai thác để đánh cắp cơ sở dữ liệu của người đọc và tác giả, trong đó có cả các thông tin cá nhân.
Behrouz đã báo vấn đề tới Yahoo! cách đây vài tháng và đội ngũ an ninh của hãng đã nhanh chóng tiến hành vá lỗ hổng. Dịch vụ đã bị đóng cửa do lượng người dùng sụt giảm và nội dung trên trang cũng đã bị xóa toàn bộ, tuy nhiên một số bài viết về tuyển dụng vẫn còn lưu lại.
Tháng 7/2012, trang Yahoo! Contributors Network đã từng bị các nhóm hacker “D33DS Company” và “Owned & Exposed” tấn công, lấy được 453.491 địa chỉ email và mật khẩu rồi công khai trên mạng. Điều tra cho thấy tin tặc đã sử dụng chính kỹ thuật SQL Injection để tiến hành tấn công vào thời điểm đó.
Tuy trang Contributors Network đã ngừng hoạt động và lỗ hổng cũng đã được vá nhưng người dùng từng sử dụng dịch vụ này vẫn nên cảnh giác và đổi các mật khẩu của mình đối với các tài khoản quan trọng.
Nguồn: The Hacker News