Το Yahoo Mail μπορεί να θεωρηθεί μια από τις χειρότερες υπηρεσίες e-mail που κυκλοφορεί στο διαδίκτυο σε θέματα ασφαλείας. Το 2014 η εταιρεία μετά από ένα hack εξέθεσε 500 εκατομμύρια λογαριασμούς, αλλά αποφάσισε να το κρατήσει μυστικό, εκθέτοντας τους χρήστες της σε πολύ σοβαρούς κινδύνους.
Τι έχει αλλάξει σήμερα; Μάλλον όχι και πάρα πολλά:
Ο ερευνητής ασφαλείας Jouko Pynnonen ανακάλυψε ένα ελάττωμα ασφαλείας cross-site scripting (XSS) στην υπηρεσία Yahoο Mail που δίνει ουσιαστικά τη δυνατότητα σε κάποιον εισβολέα να έχει πρόσβαση σε οποιοδήποτε λογαριασμό και να διαβάσει μηνύματα ηλεκτρονικού ταχυδρομείου ελεύθερα.
Η Yahoo φέρεται να επιδιόρθωσε αυτό το ελάττωμα την περασμένη εβδομάδα ανταμείβοντας τον ερευνητή με 10.000 δολάρια, σύμφωνα με το πρόγραμμα bug bounty της εταιρείας.
Το James Webb βρήκε γαλαξία πιο φωτεινό από τα αστέρια του
Το μέλλον της φιλοξενίας: Το πρώτο 3D-printed ξενοδοχείο
SpaceX: Το Starlink ξεπέρασε τους 4 εκατ. χρήστες
Ο Pynnonen εξήγησε ότι ήταν δυνατό για έναν εισβολέα να διεισδύσει σε λογαριασμούς της εταιρείας παρακάμπτοντας απλά το φιλτράρισμα HTML που χρησιμοποιεί η Yahoο για τις συνδέσεις που κρύβουν κακόβουλο κώδικα JavaScript.
Το χειρότερο από όλα ήταν ότι οι χρήστες δεν χρειαζόταν καν να κάνουν κλικ σε συνδέσμους ή να ανοίξουν συνημμένα αρχεία. Έφτανε να ανοίξουν το μήνυμα του ηλεκτρονικού ταχυδρομείου που τους απέστειλε ο hacker.
“Το ελάττωμα επιτρέπει σε έναν εισβολέα να διαβάσει το email ενός θύματος ή να δημιουργήσει έναν ιό για να μολύνει λογαριασμούς του Yahoο Mail, μεταξύ άλλων. Η επίθεση απαιτεί από το θύμα να δει ένα μήνυμα ηλεκτρονικού ταχυδρομείου που αποστέλλεται από τον εισβολέα. Δεν χρειάζεται καμία περαιτέρω αλληλεπίδραση (όπως κλικ σε ένα σύνδεσμο ή το άνοιγμα ενός συνημμένου)” αναφέρει ο ερευνητής.
Η Yahoo ενημερώθηκε για το hack στις 12 Νοεμβρίου και το επιδιόρθωσε στις 29 Νοεμβρίου. Έτσι τώρα υποτίθεται ότι είστε ασφαλείς.