Egy újabb Yahoo-botrányt sikerült megelőzni

2016.12.10. 11:00

A Yahoo nemrég foltozott be egy olyan kritikus sérülékenységet levelezőszolgáltatásában, amit kihasználva könnyedén kémkedhettek volna támadók bármelyik felhasználó levelei után.

Újabb botránytól menekülhetett meg a Yahoo, most a felhasználói levelei voltak veszélyben egy sérülékenység miatt. XSS (Cross-Site Scripting), azaz szkriptbeszúrásos módszerrel a hackerek kártékony kódot tartalmazó e-mailt küldhettek volna az áldozatok yahoo-s címére, hogy kiszipkázzák bejövő leveleik tartalmát.

Szerencsére ezt még időben felfedezte a Klikki Oy biztonsági cég szakembere, aki blogposztjában részletezte a módszert.

Nem ez az első alkalom, hogy sérülékenységet fedeznek fel a Yahoo levelezőjébenForrás: AFP/Karen Bleier

Mivel a támadó a kódot az üzenet törzsében rejti el, már abban a pillanatban aktiválódik, hogy az e-mailt megnyitja az áldozat. Ezután az üzeneteinek tartalma feltöltődik a támadó által készített külső oldalra.

Ez azért történhetett volna meg, mert a Yahoo Mail nem szűrte megfelelően a HTML-es e-mailekben a kártékony kódokat. A szakember úgy fedezte fel a hibát, hogy minden ismert HTML-taggel elkezdte bombázni a Yahoo szűrőjét, ami a teszt során káros kódot is átengedett.

A Yahoo bugvadász programján belül 10 ezer dollár (közel hárommillió forint) jutalmat kapott a sérülékenység felfedezéséért, a cég pedig még azelőtt javítást tudott kiadni, hogy valaki kihasználta volna a hibát.

Jutalom a talált hibák után
Több nagy cégnek, köztük a Facebooknak is van hibakereső (bug bounty) programja, ennek keretében pénzjutalmat ajánl fel azoknak, akik bejelentik az általuk talált sérülékenységeket, bugokat. Nem csak a cégek ismerik fel ennek a módszernek a hatékonyságát: a Pentagon idén márciusban indította el saját ilyen kezdeményezését, amelyben külsős hackerek segítségét kéri, természetesen alapos átvilágítás után. Ők szűrik ki a biztonsági hibákat weboldalaikon, ezért pénzjutalmat kapnak.

A Yahoo szeptemberben jelentette be, hogy egy augusztusi vizsgálat során sikerült kideríteni: legalább félmilliárd felhasználó személyes adatait nyúlták le a támadók, köztük születési dátumokat, e-mail címeket, jelszavakat és telefonszámokat. 

A masszív hekkelést egy hónappal azután jelentették be, hogy a Verizon ajánlatot tett a cég felvásárlására, mintegy 4,83 milliárd dollárt.

KAPCSOLÓDÓ CIKKEK