Felhasználói adatokat lopott el a Yahoo valamelyik szolgáltatásából a D33Ds Company nevű hackercsoport. A támadók a weboldal egyik hibáját kihasználva jutottak be a rendszerbe, ahonnan adatbázisparancsokkal töltötték le a felhasználóneveket.
Az SQL injection támadás lényege, hogy nyilvánosan elérhető szövegbevitelre szolgáló dobozokba - például keresőmezőbe - írnak be adatbázisparancsokat. Amennyiben a weboldal nincs felkészülve az ilyesfajta támadásokra, akkor hibaüzenet megjelenítése helyett végrehajtja a beírt parancsot és értékes adatokkal látja el a támadót.
A D33ds Company támadása figyelemfelkeltési szándékkal történt. A nyilvánosságra hozott adatokat bizonyítéknak szánták arra, hogy a Yahoo szolgáltatásiaban komoly biztonsági rések vannak. "Nagyobb biztonsági résekkel is éltek már vissza a Yahoo által üzemeltetett szervereken, amelyek jóval több kárt okoztak. Kérjük ne vegyék ezt félvállról" - írja a hackerek rövid kísérőlevele.
Az incidens legnyugtalanítóbb aspektusa, hogy egyelőre nem lehet tudni, melyik Yahoo által üzemeltetett szolgáltatásból származnak az adatok. A TrustedSec blog elemzése szerint a Yahoo Voice nevű nevű számítógépes telefonszolgáltatása lehetett a célpont, erre utalnak a nyilvánosságra hozott adatokban található kódnevek.