Tanto un servicio asociado a Yahoo (Yahoo Voice) como el portal Formspring han sido hackeados en las últimas horas por diferentes hackers con el resultado de la publicación de cerca de un millón de credenciales (cerca de medio millón para cada uno de los servicios). Un nuevo recordatorio de que jamás deberíamos usar la misma contraseña para diferentes servicios.
Con pocas horas de diferencia hemos asistido a dos importantes robos de información privada de dos importantes servicios online. La acción más reciente es la llevada a cabo contra uno de los servicios asociados a Yahoo, se sospecha de que se trata de Yahoo Voices, servicio del cual se han publicado 453.000 cuentas.
Un colectivo de hackers llamado D33Ds Company se ha atribuido la acción y ha explicado que se realizó a través de una union-based SQL injection, ataque posible debido a un pobre o nulo filtrado en los campos en los que el usuario puede interaccionar con la plataforma (campos de búsqueda, nombre de usuario...). Defecto gracias al cual los atacantes pueden ejecutar complejos comandos de SQL para obtener cualquier resultado.
El segundo robo masivo de cuentas tiene como protagonista al portal Formspring, el cual fue víctima hace un par de días del robo de 420.000 passwords hasheados, lo cual provocó que el servicio tuviera que resetear masivamente los mismos. Este ataque se llevó a cabo a través de un servidor de desarrollo mediante el cual se tuvo acceso a la base de datos. En este caso Formspring reaccionó de una manera rápida y ejemplar, primero por resetear masivamente los passwords con una mejorada encriptación sha-256 con salts aleatorios, segundo por corregir la vulnerabilidad afectada y tercero por informar inmediatamente a su comunidad.
