ΑρχικήinetYahoo! Mail: XSS! επέτρεπε! το! hack! κάθε! λογαριασμού!

Yahoo! Mail: XSS! επέτρεπε! το! hack! κάθε! λογαριασμού!

Το Yahoo Mail μπορεί να θεωρηθεί μια από τις χειρότερες υπηρεσίες e-mail που κυκλοφορεί στο διαδίκτυο σε θέματα ασφαλείας. Το 2014 η εταιρεία μετά από ένα hack εξέθεσε 500 εκατομμύρια λογαριασμούς, αλλά αποφάσισε να το κρατήσει μυστικό, εκθέτοντας τους χρήστες της σε πολύ σοβαρούς κινδύνους.

Τι έχει αλλάξει σήμερα; Μάλλον όχι και πάρα πολλά:Yahoo

Ο ερευνητής ασφαλείας Jouko Pynnonen ανακάλυψε ένα ελάττωμα ασφαλείας cross-site scripting (XSS) στην υπηρεσία Yahoο Mail που δίνει ουσιαστικά τη δυνατότητα σε κάποιον εισβολέα να έχει πρόσβαση σε οποιοδήποτε λογαριασμό και να διαβάσει μηνύματα ηλεκτρονικού ταχυδρομείου ελεύθερα.

Η Yahoo φέρεται να επιδιόρθωσε αυτό το ελάττωμα την περασμένη εβδομάδα ανταμείβοντας τον ερευνητή με 10.000 δολάρια, σύμφωνα με το πρόγραμμα bug bounty της εταιρείας.

Ο Pynnonen εξήγησε ότι ήταν δυνατό για έναν εισβολέα να διεισδύσει σε λογαριασμούς της εταιρείας παρακάμπτοντας απλά το φιλτράρισμα HTML που χρησιμοποιεί η Yahoο για τις συνδέσεις που κρύβουν κακόβουλο κώδικα JavaScript.

Το χειρότερο από όλα ήταν ότι οι χρήστες δεν χρειαζόταν καν να κάνουν κλικ σε συνδέσμους ή να ανοίξουν συνημμένα αρχεία. Έφτανε να ανοίξουν το μήνυμα του ηλεκτρονικού ταχυδρομείου που τους απέστειλε ο hacker.

“Το ελάττωμα επιτρέπει σε έναν εισβολέα να διαβάσει το email ενός θύματος ή να δημιουργήσει έναν ιό για να μολύνει λογαριασμούς του Yahoο Mail, μεταξύ άλλων. Η επίθεση απαιτεί από το θύμα να δει ένα μήνυμα ηλεκτρονικού ταχυδρομείου που αποστέλλεται από τον εισβολέα. Δεν χρειάζεται καμία περαιτέρω αλληλεπίδραση (όπως κλικ σε ένα σύνδεσμο ή το άνοιγμα ενός συνημμένου)” αναφέρει ο ερευνητής.

Η Yahoo ενημερώθηκε για το hack στις 12 Νοεμβρίου και το επιδιόρθωσε στις 29 Νοεμβρίου. Έτσι τώρα υποτίθεται ότι είστε ασφαλείς.

https://klikki.fi/adv/yahoo2.html

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS