Yahoo! Mail: XSS! επέτρεπε! το! hack! κάθε! λογαριασμού!

Το Yahoo Mail μπορεί να θεωρηθεί μια από τις χειρότερες υπηρεσίες e-mail που κυκλοφορεί στο διαδίκτυο σε θέματα ασφαλείας. Το 2014 η εταιρεία μετά από ένα hack εξέθεσε 500 εκατομμύρια λογαριασμούς, αλλά αποφάσισε να το κρατήσει μυστικό, εκθέτοντας τους χρήστες της σε πολύ σοβαρούς κινδύνους.

Τι έχει αλλάξει σήμερα; Μάλλον όχι και πάρα πολλά:Yahoo

Ο ερευνητής ασφαλείας Jouko Pynnonen ανακάλυψε ένα ελάττωμα ασφαλείας cross-site scripting (XSS) στην υπηρεσία Yahoο Mail που δίνει ουσιαστικά τη δυνατότητα σε κάποιον εισβολέα να έχει πρόσβαση σε οποιοδήποτε λογαριασμό και να διαβάσει μηνύματα ηλεκτρονικού ταχυδρομείου ελεύθερα.

Η Yahoo φέρεται να επιδιόρθωσε αυτό το ελάττωμα την περασμένη εβδομάδα ανταμείβοντας τον ερευνητή με 10.000 δολάρια, σύμφωνα με το πρόγραμμα bug bounty της εταιρείας.

Ο Pynnonen εξήγησε ότι ήταν δυνατό για έναν εισβολέα να διεισδύσει σε λογαριασμούς της εταιρείας παρακάμπτοντας απλά το φιλτράρισμα HTML που χρησιμοποιεί η Yahoο για τις συνδέσεις που κρύβουν κακόβουλο κώδικα JavaScript.

Το χειρότερο από όλα ήταν ότι οι χρήστες δεν χρειαζόταν καν να κάνουν κλικ σε συνδέσμους ή να ανοίξουν συνημμένα αρχεία. Έφτανε να ανοίξουν το μήνυμα του ηλεκτρονικού ταχυδρομείου που τους απέστειλε ο hacker.

“Το ελάττωμα επιτρέπει σε έναν εισβολέα να διαβάσει το email ενός θύματος ή να δημιουργήσει έναν ιό για να μολύνει λογαριασμούς του Yahoο Mail, μεταξύ άλλων. Η επίθεση απαιτεί από το θύμα να δει ένα μήνυμα ηλεκτρονικού ταχυδρομείου που αποστέλλεται από τον εισβολέα. Δεν χρειάζεται καμία περαιτέρω αλληλεπίδραση (όπως κλικ σε ένα σύνδεσμο ή το άνοιγμα ενός συνημμένου)” αναφέρει ο ερευνητής.

Η Yahoo ενημερώθηκε για το hack στις 12 Νοεμβρίου και το επιδιόρθωσε στις 29 Νοεμβρίου. Έτσι τώρα υποτίθεται ότι είστε ασφαλείς.

https://klikki.fi/adv/yahoo2.html

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).