ไอทีในชีวิตประจำวัน # 351 ยาฮูโดนแฮ็กสี่แสนห้าหมื่นบัญชี ()
เว็บท่า (Portal Website) ที่อยู่ในอันดับต้นของโลก ที่รวมข้อมูล ข่าวสาร และบริการไว้ด้วยกัน สรุปว่าเข้าเว็บท่าแล้วได้ทุกอย่าง ราวปี 2540 ผู้ใช้บริการอินเทอร์เน็ตทุกคนรู้จักเว็บไซต์ยาฮูดอทคอม (Yahoo.com) เพราะเป็นเบอร์หนึ่ง ต่อมาได้ซื้อเว็บไซต์จีโอซิตี้ (Geocities.com) ซึ่งเป็นผู้ให้บริการฟรีโฮมเพจเบอร์หนึ่งในขณะนั้น แต่เหตุการณ์พลิกผันไม่แน่นอน เมื่อ google.com เริ่มเข้าแย่งลูกค้า ประกอบกับความนิยมในการใช้ฟรีเว็บโฮสติ้งลดลง ผู้ใช้เปลี่ยนไปเช่ากันเองเพราะราคาลดลงมาก ใช้บริการของเว็บบล็อกมากขึ้น เริ่มเข้าสู่ยุคของสคลิ๊ปประเภทซีเอ็มเอส (Content Management System) แล้วจีโอซิตี้ก็ถูกปิดไปเมื่อปลายปี 2552
ศุกร์ที่ 13 ก.ค.55 เป็นวันฝันร้ายของยาฮูดอทคอม มีข่าวออกมาว่าแฮ็กเกอร์ (Hacker) ได้เผยแพร่ข้อมูลรหัสผู้ใช้ และรหัสผ่านกว่า 450,000 บัญชี โดยแสดงความเห็นว่าเว็บไซต์ของยาฮูมีช่องโหว่มาก แล้วยาฮูก็ออกมายอมรับแต่โดยดีว่าความผิดพลาดเรื่องความปลอดภัยในเครื่องบริการของตนนั้นเกิดขึ้นจริง และได้ดำเนินการแก้ไขไปแล้ว ยาฮูรายงานว่าการโจมตีครั้งนี้ใช้เทคนิค SQL Injections เหมือนกับที่เคยโจมตีโซนี่พิกเจอร์ (Sonypictures.com) ได้ถึง 1 ล้านบัญชีเมื่อกลางปี 2554
ข่าวการโจมตีของแฮกเกอร์ต่อเว็บไซต์ขนาดใหญ่แบบนี้ ย่อมส่งผลกระทบต่อการทบทวนนโยบายด้านความปลอดภัยของเว็บไซต์ทั่วโลก และผู้ใช้ก็ต้องทบทวนรหัสผ่านของตนว่าปลอดภัยหรือไม่ วิธีที่ดีที่สุดของผู้ให้บริการ คือ การเก็บรหัสผ่านแบบเข้ารหัสครั้งเดียว และถอดกลับไม่ได้ หมายความว่าจะเข้ารหัสผ่านของผู้ใช้ก่อนจัดเก็บ แม้แต่ผู้ให้บริการก็ไม่อาจทราบว่ารหัสผ่านนั้นคืออะไร เพราะจะตรวจสอบได้ด้วยการเปรียบเทียบกับรหัสผ่านที่ถูกต้องเท่านั้น ส่วนรหัสผ่านก็ควรมีนโยบายกำหนดให้ซับซ้อน อาทิ เป็นตัวอักษรรวมกันไม่ต่ำกว่า 8 ตัวที่ประกอบด้วยพิมพ์ใหญ่ พิมพ์เล็ก ตัวเลข และสัญลักษณ์พิเศษ ถ้าผู้ให้บริการใส่ใจกับเรื่องความปลอดภัย ถึงแม้แฮกเกอร์ได้สิ่งที่เก็บอยู่ในเครื่องบริการไป แต่ก็ไม่สามารถถอดรหัสผ่านออกมาได้ เพราะที่เก็บไว้นั้นไม่สามารถถอดรหัสได้ ซึ่งเพิ่มความอุ่นใจให้กับผู้ใช้ได้มาก