11月17日，據(jù)國外媒體報道，據(jù)以色列安全公司Imperva稱，雅虎求職網(wǎng)站上個星期發(fā)現(xiàn)了一個可能泄露用戶數(shù)據(jù)的嚴(yán)重安全漏洞。它在一個已知的的犯罪論壇中發(fā)現(xiàn)有人正在討論這個安全漏洞。這是一種名為“盲SQL注入”的標(biāo)準(zhǔn)的SQL注入攻擊安全漏洞，可能已經(jīng)泄露了用戶的賬戶細節(jié)和支付數(shù)據(jù)。 

    這個安全漏洞從理論上說沒有直接的SQL注入攻擊那樣嚴(yán)重，因為這種攻擊需要使用精心制作的對目標(biāo)數(shù)據(jù)庫的SQL查詢以獲取返回的信息，而不是簡單地看到直接的結(jié)果。 

    然而，據(jù)Imperva首席技術(shù)官Amichai Shulman說，這已經(jīng)不再是一個障礙了。人們也許會說這種安全漏洞沒有那樣嚴(yán)重。但是，有許多自動的工具能夠利用返回的數(shù)據(jù)提取整個數(shù)據(jù)庫的信息。 

    Imperva上個星期四向雅虎報告了這個安全漏洞。雅虎在當(dāng)天下午就準(zhǔn)備好了補丁。Shulman說，這個情況暗示了這個安全漏洞的嚴(yán)重性。雅虎的反應(yīng)是非?？斓?。在以前的事件中，雅虎發(fā)布補丁需要很長時間。這一次他們非?？臁?nbsp;

    目前還不可能說雅虎的數(shù)據(jù)是否已經(jīng)被人收集了。但是，Shulman懷疑討論這個安全漏洞的論壇很可能是向其他人銷售破解這個安全漏洞的技術(shù)的方式。 

    求職網(wǎng)站是犯罪分子攻擊的一個主要目標(biāo)，因為這種網(wǎng)站吸引了很高的流量。這些攻擊采取兩種方式，一種是獲取網(wǎng)站內(nèi)部數(shù)據(jù)庫中的數(shù)據(jù)以得到內(nèi)在的價值，另一種是利用網(wǎng)站本身托管進一步的攻擊。