Egy újabb Yahoo-botrányt sikerült megelőzni
Nem ez az első alkalom, hogy sérülékenységet fedeznek fel a Yahoo levelezőjében
Nézze meg a sporthíreket is
Iratkozzon fel hírlevelünkre Nézze meg a sporthíreket is
Csatlakozzon hozzánk közösségi oldalainkon is!
A Yahoo nemrég foltozott be egy olyan kritikus sérülékenységet levelezőszolgáltatásában, amit kihasználva könnyedén kémkedhettek volna támadók bármelyik felhasználó levelei után.
Újabb botránytól menekülhetett meg a Yahoo, most a felhasználói levelei voltak veszélyben egy sérülékenység miatt. XSS (Cross-Site Scripting), azaz szkriptbeszúrásos módszerrel a hackerek kártékony kódot tartalmazó e-mailt küldhettek volna az áldozatok yahoo-s címére, hogy kiszipkázzák bejövő leveleik tartalmát.
Szerencsére ezt még időben felfedezte a Klikki Oy biztonsági cég szakembere, aki blogposztjában részletezte a módszert.
Mivel a támadó a kódot az üzenet törzsében rejti el, már abban a pillanatban aktiválódik, hogy az e-mailt megnyitja az áldozat. Ezután az üzeneteinek tartalma feltöltődik a támadó által készített külső oldalra.
Ez azért történhetett volna meg, mert a Yahoo Mail nem szűrte megfelelően a HTML-es e-mailekben a kártékony kódokat. A szakember úgy fedezte fel a hibát, hogy minden ismert HTML-taggel elkezdte bombázni a Yahoo szűrőjét,
ami a teszt során káros kódot is átengedett.
A Yahoo bugvadász programján belül 10 ezer dollár (közel hárommillió forint) jutalmat kapott a sérülékenység felfedezéséért, a cég pedig még azelőtt javítást tudott kiadni, hogy valaki kihasználta volna a hibát.
Jutalom a talált hibák után
Több nagy cégnek, köztük a Facebooknak is van hibakereső (bug bounty) programja, ennek keretében pénzjutalmat ajánl fel azoknak, akik bejelentik az általuk talált sérülékenységeket, bugokat. Nem csak a cégek ismerik fel ennek a módszernek a hatékonyságát: a Pentagon idén márciusban indította el saját ilyen kezdeményezését, amelyben külsős hackerek segítségét kéri, természetesen alapos átvilágítás után. Ők szűrik ki a biztonsági hibákat weboldalaikon, ezért pénzjutalmat kapnak.A Yahoo szeptemberben jelentette be, hogy egy augusztusi vizsgálat során sikerült kideríteni: legalább félmilliárd felhasználó személyes adatait nyúlták le a támadók, köztük születési dátumokat, e-mail címeket, jelszavakat és telefonszámokat.
A masszív hekkelést egy hónappal azután jelentették be, hogy a Verizon ajánlatot tett a cég felvásárlására, mintegy 4,83 milliárd dollárt.
origo.hu
Véget ért a mentés Újvidéken, friss képek a 14 halottas tragédia helyszínéről
origo.hu
27 éves korában meghalt a magyar műsorvezető
borsonline.hu
Magyarország gyásza: a Dunába szakadt a Margit híd
hirtv.hu
Radar - A Farkasréti temető nagyjai + videó
life.hu
Kvíz Magyarországról: csak a legműveltebbek találnak el többet a felénél
magyarnemzet.hu
Hadas Kriszta kimerültségről, álmatlanságról beszélt néhány hónapja + videó
origo.hu
Irán megfenyegette Izraelt és az Egyesült Államokat
origo.hu
Rákot okozhat egy életmentőnek tartott kezelés
origo.hu
Összegyűrt zsákokat használhattak beton helyett az újvidéki vasútállomáson
origo.hu
Megrázó képeken az újvidéki vasútállomáson történt tragédia
origo.hu
Videón, ahogy leomlik az újvidéki vasútállomás homlokzata
origo.hu
