Olimpo Informatico

Zeus News · Ospite

Leggi l'articolo Hacker all'attacco di Yahoo Mail
L'incursione mira a raccogliere nomi e indirizzi da utilizzare per l'invio di SPAM.

Foto via Fotolia

Segnala un refuso

MaXXX eternal tiare · Dio maturo Registrato: 18/02/09 11:13 Messaggi: 2290 Residenza: Dreamland

Così è più chiara... stamattina molte altre notizie parlavano di password rubate non tramite attacco brute force ma proprio rubate a yahoo..

Rimane certo il biasimo (non ci si sorprende però) che server di servizi di terze parti possano aver accesso a database yahoo contenenti gli username degli utenti... sicuramente per scopi pubblicitari

forse yahoo e gli altri oltre a proteggere se stessi dovrebbe chedere più competenza anche dai partner Smile

valcipo · Inviato: 01 Feb 2014 11:36 Oggetto:

Anche voi usate la criptografia delle password. Perchè molti siti, anche istituzionali, non usano questa tecnica ? Forse i programmatori non sanno cosa vuol dire crittografare una stringa ? Suggeritegli di dare un'occhiata all'algoritmo MD5. Insomma se si continua a lasciare la chiave sulla toppa, prima o poi arriva il ladro che entra in casa !!!! E' normale che sia così !! Shocked

interceptor · Semidio Registrato: 20/01/06 08:52 Messaggi: 252

Ma chiara mica tanto.
Società terza parte, bucato il SUO DB con mail e password per il SUO servizio.
A questo punto non si capisce il "si appogiava a yahoo mail": cioè tutti quelli che usavano quel servizio avevano una mail di yahoo? (Improbabile, no?)

Dopo l'attacco è chiaro servizio terzo -> username = xyz@yahoo.com
password= lamiapassword
Provo a vedere se lamiapassword è la stessa per xyz@yahoo.com.

Quindi perchè solo con yahho e non qualsiasi provider che l'utente abbia usato come username?

{ViR} · Ospite

Sì, interceptor, ma quello che che presumo intedesse valcipo è che l'altra società (chiamiamo Yahoo A e quest'altra B) non dovrebbe memorizzare in chiaro la password dell'utente (U1) ma crittografarla.

Neppure per i propri servizi, è indispensabile che B si conservi la passord di U1 in chiaro:
quando U si registra ad B e comunica la scelta propia password ( P(U1) ), B non se la segna bensì con un algortmo (MD5 o altri) la cripta ottenendo un risultato ( R(U1) ) ricavato da essa, ma dal quale viceversa non si può risalire a P(U1) (ci sono algoritmi con questa proprietà).

Le volte successive che U1 vorrà accedere, comunicherà a B la propria password P(U1). Come potrà B sapere se è giusta, se non se l'è salvata? Applica di nuovo l'agoritmo di crittografia e calcola il risultato R(U1) , che deve essere uguale a quello salvato.

Se un terzo (C) rubasse il file con "le password" (ma in realtà sono i R(Un) dei vari utenti, non le vere e proprie password P(Un) ) non potrebbe accedere al servizio di B. Tanto meno a quello di A (Yahoo)

interceptor · Semidio Registrato: 20/01/06 08:52 Messaggi: 252

Ok, perfetto ma questa che dici è "una best practice" per mitigare gli effetti dell'intrusione nel DB.
Quello che non capisco è perchè la società B fosse legata adoppio filo con Yahoo.
Se la username è l'indirizzo mail, perchè solo di yahoo.
E se rivendevano il servizio mail di yahoo (ma suppongo con un altro dominio da cui l'appoggio) perchè sarebbe compromessa la casella di dominio yahoo.

{silvio} · Ospite

ok a me e' successo tutto questo ma ora non posso piu' entrare nella mia posta...... pasword errata e domanda segreta errata hanno cambiato tutto.Aiutooooooo come faccio adesso ad avere accesso alla mia ex-mail?

Zeus News · Ospite

Hacker all'attacco di Yahoo Mail: rubate username e password a migliaia di utenti

MaXXX eternal tiare · Inviato: 07 Feb 2014 14:35 Oggetto:

@ Interceptor esatto la questione è questa come facevano ad avere nei loro db indirizzi mail yahoo???

forse era un partner di yahoo che mandava pubblicità mirata nei banner?? potrebbe essere un idea... la cosa non è stata chiarita...

se avessero collezionato indirizzi a caso su internet però non ci sarebbero stati solo quelli yahoo

l'unica cosa chiara è che non hanno rubato le password appunto di yhaoo ma hanno usato quelle che probabilomente potevano essere leggendo le password del servizio partner tra virgolette (ecco perchè usare una pw diversa per ogni servizio)

non è nemmeno chiaro se questo terzo servizio non abbiamo crittografato gli hash degli indirizzi e delle loro password magari lo hanno fatto ma con una protezione debole...