5.9.2014 dostali lidé z Yahoo informaci o SQL injection na jednom z jejich serverů. Existenci chyby 6.9. podvrdili a 7.9. opravili.
Nakonec byla objevena ještě chyba RCE umožňující vzdálené spouštění příkazů OS a došlo k rootnutí toho stroje a přesto yahoo 19.9. oznámilo, že nárok na odměnu z Bug Bounty Programu nevzniká.
To je jako docela slušné, nevím čeho víc se dá dosáhnout - co je víc, než root? A hesla v db uložené jako base64...

Více: http://www.sec-down.com/wordpress/?p=494