Один из пользователей Yahoo, пострадавший из-за массовой утечки паролей, подал заявление в суд (pdf), требуя у компании компенсации ущерба и обвиняя её в том, что она не предприняла достаточных мер для защиты пользователей. В исковом заявлении отмечается, что техника SQL-инъекций с 2003 года признана комиссией FTC «хорошо известной и предсказуемой техникой атак».
Дело будет рассматривать в окружном суде Северной Калифорнии. В исковом заявлении указано, что истец Джефф Аллан (Jeff Allan) выступает от своего лица, а также от лица всех остальных, кто попал в такую же ситуацию. Другими словами, если он получит компенсацию в суде, то на такую же компенсацию могут претендовать и другие пострадавшие.
Напомним, что 11 июля хакерская группа D33Ds Company выложила на своём сайте текстовый файл с указанием адресов электронной почты и паролей 453492 пользователей Yahoo. Судя по характерным признакам, информация собрана с помощью SQL-инъекции, поскольку текстовый файл содержит более 2700 названий табличных строк и столбцов, а также названия 298 переменных MySQL. Как выяснилось позже, утечка информации произошла с сервиса Yahoo Voices. В исковом заявлении также отмечено, что эти более 450 тыс. пострадавших пользователей, судя по всему, являлись авторами в платформе для фрилансеров Associated Content, которую Yahoo купила в 2010 году за $100 млн. Вскоре на её основе была открыта собственная сеть для авторов Yahoo Contributor Network и сервис Yahoo Voices. Другими словами, пострадавшие пользователи даже никогда не регистрировались непосредственно в Yahoo — их купили, а потом бесстыдно слили пароли в открытый доступ. К тому же, это не простые пользователи, а авторы оригинального контента, фотографы, блоггеры, писатели и т.д.
В файле перечислены адреса разных почтовых провайдеров и пароли в открытом виде. Очевидно, что многие из этих паролей подходят не только для сервиса Yahoo Voices, но и для соответствующих почтовых ящиков, а также для других сайтов. В частности, вышеупомянутый Джефф Аллан получил сообщение о мошеннической активности на своём торговом счету eBay, где у него такой же пароль, как в Yahoo Voices. Сейчас мистер Аллан не знает, как много приватной информации о нём собрали хакеры, получив доступ к различным его аккаунтам.
