Yahoo證實網站安全漏洞造成45萬筆帳號外洩

一個名為D33D的駭客公司周三（7/11）公布了逾45萬筆從Yahoo竊取的帳號與密碼，Yahoo隔天即證實了此事，被駭的是專門讓自由作家出版文章、影片及照片的Yahoo Voices伺服器。

Yahoo於聲明中指出，Contributor Network上含有約45萬筆Yahoo及其他業者的使用者名稱與密碼被駭，但被駭的是老舊檔案，其中只有5%的Yahoo帳號密碼是有效的，該站已立即修補了導致資料外洩的漏洞，變更受影響的使用者密碼，並知會其他被波及的業者。

Yahoo的Contributor Network為一允許作家及攝影師分享知識及交流的園地，Yahoo Voices則用來集結相關作品，屬於Contributor Network的數位資料庫。由於Yahoo Voices允許使用者以其他業者的郵件帳號作為使用者名稱，因此駭客所公布的內容除了來自Yahoo外，還有10.6萬筆為Gmail帳號、5.5萬筆為Hotmail帳號，以及2.5萬筆的AOL郵件帳號。

D33D利用Yahoo的網頁安全漏洞並透過資料隱碼（SQL injection）技術竊取了檔案，並表示Yahoo的網站伺服器上一直有很多安全漏洞，而且能夠造成比此次更大的傷害，他們希望負責管理此一子網域安全的單位把此一公布視為警惕，而非威脅。

資安業者批評以Yahoo如此規模的網站，竟然會將使用者的帳號及密碼以明文的方式儲存，而且駭客只透過簡單的資料隱碼攻擊就得手，如果集結專業人士帳號的Yahoo Voices都這麼容易被駭，那麼Yahoo的其他服務似乎也岌岌可危。

雖然D33D很快就移除了公布帳號的網頁，不過該檔案已出現在P2P網路上，可能淪為其他駭客的目標。專門偵測惡意程式的Sucuri則開闢了一個網頁以協助使用者確認自己的帳號是否遭竊。（編譯/陳曉莉）