10/12/2016

Yahoo Mail: Επέτρεπε την παραβίαση κάθε λογαριασμού μέσω cross-site scripting (XSS)

Το 2014 η εταιρεία μετά από ένα hack εξέθεσε 500 εκατομμύρια λογαριασμούς, αλλά αποφάσισε να το κρατήσει μυστικό, εκθέτοντας τους χρήστες της σε πολύ σοβαρούς κινδύνους. Τι έχει αλλάξει σήμερα; Μάλλον όχι και πάρα πολλά... Ο ερευνητής ασφαλείας Jouko Pynnonen ανακάλυψε ένα ελάττωμα ασφαλείας cross-site scripting (XSS) στην υπηρεσία Yahoο Mail που έδινε ουσιαστικά την δυνατότητα σε κάποιον εισβολέα να έχει πρόσβαση σε οποιοδήποτε λογαριασμό και να διαβάσει μηνύματα ηλεκτρονικού ταχυδρομείου ελεύθερα. Ο Pynnonen εξήγησε ότι ήταν δυνατό για έναν εισβολέα να διεισδύσει σε λογαριασμούς της εταιρείας παρακάμπτοντας απλά το φιλτράρισμα HTML που χρησιμοποιεί η Yahoο για τις συνδέσεις που κρύβουν κώδικα JavaScript. Το χειρότερο από όλα ήταν ότι οι χρήστες δεν χρειαζόταν καν να κάνουν κλικ σε συνδέσμους ή να ανοίξουν συνημμένα αρχεία. Έφτανε να ανοίξουν το μήνυμα του ηλεκτρονικού ταχυδρομείου που τους απέστειλε ο hacker. «Το ελάττωμα επέτρεπε σε έναν τρίτο να διαβάσει το email του θύματος ή να δημιουργήσει έναν ιό για να μολύνει λογαριασμούς του Yahoο Mail, μεταξύ άλλων. Η επίθεση ολοκληρωνόταν απλά με το άνοιγμα του μηνύματος ηλεκτρονικού ταχυδρομείου που αποστέλλονταν από τον εισβολέα. Δεν χρειαζόταν καμία περαιτέρω αλληλεπίδραση (όπως κλικ σε ένα σύνδεσμο ή το άνοιγμα ενός συνημμένου)» αναφέρει ο ερευνητής.

Η Yahoo ενημερώθηκε για το hack στις 12 Νοεμβρίου και φέρεται να το επιδιόρθωσε στις 29 Νοεμβρίου, ανταμείβοντας μάλιστα τον ερευνητή με 10.000 δολάρια, σύμφωνα με το πρόγραμμα bug bounty της εταιρείας. Έτσι τώρα υποτίθεται ότι είστε ασφαλείς. Το Yahoo Mail μπορεί να θεωρηθεί ως μια από τις χειρότερες υπηρεσίες e-mail που κυκλοφορεί στο διαδίκτυο σε θέματα ασφαλείας.

https://secnews.gr/151574/yahoo-mail-xss/

No comments :

Post a Comment