Το Yahoo Mail μπορεί να θεωρηθεί μια από τις χειρότερες υπηρεσίες e-mail που κυκλοφορεί στο διαδίκτυο σε θέματα ασφαλείας. Το 2014 η εταιρεία μετά από ένα hack εξέθεσε 500 εκατομμύρια λογαριασμούς, αλλά αποφάσισε να το κρατήσει μυστικό, εκθέτοντας τους χρήστες της σε πολύ σοβαρούς κινδύνους.
Τι έχει αλλάξει σήμερα; Μάλλον όχι και πάρα πολλά:
Ο ερευνητής ασφαλείας Jouko Pynnonen ανακάλυψε ένα ελάττωμα ασφαλείας cross-site scripting (XSS) στην υπηρεσία Yahoο Mail που δίνει ουσιαστικά τη δυνατότητα σε κάποιον εισβολέα να έχει πρόσβαση σε οποιοδήποτε λογαριασμό και να διαβάσει μηνύματα ηλεκτρονικού ταχυδρομείου ελεύθερα.
Η Yahoo φέρεται να επιδιόρθωσε αυτό το ελάττωμα την περασμένη εβδομάδα ανταμείβοντας τον ερευνητή με 10.000 δολάρια, σύμφωνα με το πρόγραμμα bug bounty της εταιρείας.
Ο Pynnonen εξήγησε ότι ήταν δυνατό για έναν εισβολέα να διεισδύσει σε λογαριασμούς της εταιρείας παρακάμπτοντας απλά το φιλτράρισμα HTML που χρησιμοποιεί η Yahoο για τις συνδέσεις που κρύβουν κακόβουλο κώδικα JavaScript.
Το χειρότερο από όλα ήταν ότι οι χρήστες δεν χρειαζόταν καν να κάνουν κλικ σε συνδέσμους ή να ανοίξουν συνημμένα αρχεία. Έφτανε να ανοίξουν το μήνυμα του ηλεκτρονικού ταχυδρομείου που τους απέστειλε ο hacker.
“Το ελάττωμα επιτρέπει σε έναν εισβολέα να διαβάσει το email ενός θύματος ή να δημιουργήσει έναν ιό για να μολύνει λογαριασμούς του Yahoο Mail, μεταξύ άλλων. Η επίθεση απαιτεί από το θύμα να δει ένα μήνυμα ηλεκτρονικού ταχυδρομείου που αποστέλλεται από τον εισβολέα. Δεν χρειάζεται καμία περαιτέρω αλληλεπίδραση (όπως κλικ σε ένα σύνδεσμο ή το άνοιγμα ενός συνημμένου)” αναφέρει ο ερευνητής.
Η Yahoo ενημερώθηκε για το hack στις 12 Νοεμβρίου και το επιδιόρθωσε στις 29 Νοεμβρίου. Έτσι τώρα υποτίθεται ότι είστε ασφαλείς.
https://klikki.fi/adv/yahoo2.html