Según la compañía de seguridad Trusted Sec., parece que los datos se han obtenido a través del servicio Yahoo! Voice, donde la información y las contraseñas se almacenaban, al parecer, sin ningún tipo de cifrado (dato no confirmado), cosa que ha permitido el ataque a través de una inyección SQL, en la que el atacante toma el control del sitio web y puede, por lo tanto, extraer información confidencial del mismo.
Además de mostrar las mencionadas contraseñas y nombres de usuario, la información iba a acompañada de un mensaje de los hackers:
Es una llamada de atención, no una amenaza.[…] Han existido demasiados problemas serios de seguridad en servidores de Yahoo! y han causado un daño mucho mayor que esta divulgación […] Los subdominios y parámetros vulnerables no se publicaron para evitar daños mayores.
Vía: Alt1040, arstechnica.com y trustedsec.com