IT-sikkerhetsbloggen TrustedSec har lagt ut en melding om at 450 000 passord og brukernavn til en ikke-oppgitt tjeneste fra Yahoo er publisert av en hackergruppe som kaller seg D33Ds Company.
Bloggen inneholder en lenke til en tekstfil på nettstedet til D33Ds. Den svært omfattende tekstfilen inneholder, ifølge Ars Technica, brukeropplysninger til 453 492 Yahoo-konti, i en tabell med over 2700 kolonner og 298 MySQL-variable. Alt skal være hentet fra den samme «dåden» («exploit»), det vil si datainnbruddet.
Alt i filen er i klar tekst. Ingen av opplysningene er kryptert.
Ifølge TrustedSec stammer opplysningene trolig fra tjenesten «Yahoo Voice».
Mot slutten av tekstfilen kommer hackerne med en unnskyldning i kjent stil:
– Vi håper at de som er ansvarlige for sikkerheten i dette underdomenet vil se på det [vi har gjort] som en påminnelse og ikke som en trussel. Mange sikkerhetshull i webservere hos Yahoo har vært utnyttet og utløst langt større skade enn vår herværende publisering.
Hackerne opplyser også at de har anvendt SQL-injisering for å gjennomføre innbruddet.
I skrivende stund er saken publisert i et titalls nettmedier. Yahoo har ikke kommentert tilfellet i noen av dem.
Det store spørsmålet er, selvfølgelig, hvorfor passord og brukernavn er lagret i klar tekst. Standard praksis tilsier at følsomme opplysninger skal lagres kryptert.
Hvis man er i tvil, bør man endre passordet til Yahoo-kontoen før man eventuelt laster ned den enorme tekstfilen for å sjekke om ens egne opplysninger er kompromittert.