Egy újabb Yahoo-botrányt sikerült megelőzni

A témát ebben részben 'Hírek!' CF dealer hozta létre. Ekkor: 2016. december 10..

  1. CF dealer

    CF dealer / Tulajdonos Vezetőségi tag

    Csatlakozott:
    2011. június 15.
    Hozzászólások:
    24,506
    Kapott lájkok:
    2,269
    Beküldött adatlapok:
    0
    Nem:
    Férfi
    Lakhely :
    deutschland
    Hangjelzés a Chaten:
    nem
    A Yahoo nemrég foltozott be egy olyan kritikus sérülékenységet levelezőszolgáltatásában, amit kihasználva támadók könnyedén kémkedhettek volna bármelyik felhasználó levelei után.


    Újabb botránytól menekülhetett meg a Yahoo, most a felhasználói levelei voltak veszélyben egy sérülékenység miatt. XSS (Cross-Site Scripting), azaz szkriptbeszúrásos módszerrel a hackerek kártékony kódot tartalmazó e-mailt küldhettek volna az áldozatok yahoo-címére, hogy kiszipkázzák bejövő leveleik tartalmát.

    Szerencsére ezt még időben felfedezte a Klikki Oy biztonsági cég szakembere, aki blogposztjában részletezte a módszert.

    [​IMG]

    Nem ez az első alkalom, hogy sérülékenységet fedeznek fel a Yahoo levelezőjében

    Forrás: AFP/Karen Bleier

    Mivel a támadó a kódot az üzenet törzsében rejti el, már abban a pillanatban aktiválódik, hogy azt megnyitja az áldozat. Ezután az üzeneteinek tartalma feltöltődik a támadó által készített külső oldalra.

    Ez azért történhetett volna meg, mert a Yahoo Mail nem szűrte megfelelően a HTML-es e-mailekben a kártékony kódokat. A szakember úgy fedezte fel a hibát, hogy minden ismert HTML taggel elkezdte bombázni a Yahoo szűrőjét, ami a teszt során káros kódot is átengedett.

    A Yahoo bugvadász programján belül 10 ezer dollár (közel három millió forint) jutalmat kapott a sérülékenység felfedezéséért, a cég pedig még azelőtt javítást tudott kiadni, hogy valaki kihasználta volna azt.


    Jutalom a talált hibák után

    Több nagy cégnek, köztük a Facebooknak is van hibakereső (bug bounty) programja, ennek keretében pénzjutalmat ajánl fel azoknak, akik bejelentik az általuk talált sérülékenységeket, bugokat. Nem csak a cégek ismerik fel ennek a módszernek a hatékonyságát: a Pentagon idén márciusban indította el saját ilyen kezdeményezését, amelyben külsős hackerek segítségét kéri, természetesen alapos átvilágítás után. Ők szűrik ki a biztonsági hibákat weboldalaikon, ezért pénzjutalmat kapnak.

    A Yahoo szeptemberben jelentette be, hogy egy augusztusi vizsgálat során sikerült kideríteni: legalább félmilliárd felhasználó személyes adatait nyúlták le a támadók, köztük születési dátumokat, e-mail címeket, jelszavakat és telefonszámokat.

    A masszív hekkelést egy hónappal azután jelentették be, hogy a Verizon ajánlatot tett a cég felvásárlására, mintegy 4,83 milliárd dollárt.

    KAPCSOLÓDÓ CIKKEK

    Let's block ads! (Why?)

    Forrás...
     
    CF dealer, 2016. december 10.
    #1