Yahoo resuelve la vulnerabilidad que permitió el robo de contraseñas
Yahoo ha asegurado que la vulnerabilidad que permitió el robo de 450.000 contraseñas de usuarios de su servicio ha sido resuelta. Recientemente se ha conocido que la compañía no encriptaba las contraseñas.
A través de un post en su blog el pasado viernes, la compañía afirma haber “corregido esta vulnerabilidad, desplegado medidas de seguridad adicionales y estamos en el proceso de notificación a los usuarios”.
Yahoo no ha ofrecido información específica sobre el ataque, cómo se llevó a cabo o incluso cuándo, si bien se confirmó el jueves. El grupo de hackers D33Ds Company asumió la responsabilidad de la brecha de seguridad, explicando que había explotado una vulnerabilidad de de SQL básica en un servicio de Yahoo para robar los nombres de usuario y contraseñas asociadas con 453.000 cuentas. El grupo publicó las contraseñas y las direcciones de correo electrónico en la Web.
Afectados los usuarios de la Yahoo Contributor Network
Yahoo también ha confirmado que han resultado afectados por el incidente los usuarios registrados en su Yahoo Contributor Network, red antes denominada Associated Content, que es una plataforma que genera gran volumen de contenido a bajo coste al permitir a fotógrafos y otros profesionales compartir su trabajo con los miembros de Yahoo y ganar dinero en función del tráfico que su contenido genera. Esos usuarios necesitan introducir para entrar su ID de Yahoo, Google o Facebook.
Según Yahoo, sólo se han visto afectadas por el robo de las contraseñas las personas que se inscribieron como proveedores con Associated Content antes de su adquisición en 2010, y mantiene que "el archivo comprometido era un fichero independiente que no se utiliza para conceder acceso a los sistemas y servicios de Yahoo!".
Casi un tercio de las contraseñas robadas estaban vinculadas a cuentas con una dirección de correo electrónico yahoo.com, según señaló la empresa de seguridad Rapid7 el jueves de la semana pasada, aunque un 23,6 por ciento de las cuentas son de Gmail y un 12,2 por ciento de Hotmail.
Los expertos en seguridad advierten de que, independientemente de la dirección de correo de la que se trate, todos los usuarios con cuentas antiguas de Associated Content, deben cambiar inmediatamente las contraseñas de sus cuentas de correo electrónico, así todas las contraseñas idénticas o similares que utilicen, para garantizar la seguridad de otros servicios online o sitios web.
Críticas a Yahoo
Los expertos en seguridad han sido duros en sus críticas a Yahoo, en gran parte porque las contraseñas estaban almacenadas en un texto plano, sin cifrado ni codificación alguna, lo que facilitó el trabajo de los hackers.
