Újabb botránytól menekülhetett meg a Yahoo, most a felhasználói levelei voltak veszélyben egy sérülékenység miatt. XSS (Cross-Site Scripting), azaz szkriptbeszúrásos módszerrel a hackerek kártékony kódot tartalmazó e-mailt küldhettek volna az áldozatok yahoo-s címére, hogy kiszipkázzák bejövő leveleik tartalmát.
Szerencsére ezt még időben felfedezte a Klikki Oy biztonsági cég szakembere, aki blogposztjában részletezte a módszert.
Mivel a támadó a kódot az üzenet törzsében rejti el, már abban a pillanatban aktiválódik, hogy az e-mailt megnyitja az áldozat. Ezután az üzeneteinek tartalma feltöltődik a támadó által készített külső oldalra.
Ez azért történhetett volna meg, mert a Yahoo Mail nem szűrte megfelelően a HTML-es e-mailekben a kártékony kódokat. A szakember úgy fedezte fel a hibát, hogy minden ismert HTML-taggel elkezdte bombázni a Yahoo szűrőjét,
ami a teszt során káros kódot is átengedett.
A Yahoo bugvadász programján belül 10 ezer dollár (közel hárommillió forint) jutalmat kapott a sérülékenység felfedezéséért, a cég pedig még azelőtt javítást tudott kiadni, hogy valaki kihasználta volna a hibát.
Jutalom a talált hibák után
Több nagy cégnek, köztük a Facebooknak is van hibakereső (bug bounty) programja, ennek keretében pénzjutalmat ajánl fel azoknak, akik bejelentik az általuk talált sérülékenységeket, bugokat. Nem csak a cégek ismerik fel ennek a módszernek a hatékonyságát: a Pentagon idén márciusban indította el saját ilyen kezdeményezését, amelyben külsős hackerek segítségét kéri, természetesen alapos átvilágítás után. Ők szűrik ki a biztonsági hibákat weboldalaikon, ezért pénzjutalmat kapnak.A Yahoo szeptemberben jelentette be, hogy egy augusztusi vizsgálat során sikerült kideríteni: legalább félmilliárd felhasználó személyes adatait nyúlták le a támadók, köztük születési dátumokat, e-mail címeket, jelszavakat és telefonszámokat.
A masszív hekkelést egy hónappal azután jelentették be, hogy a Verizon ajánlatot tett a cég felvásárlására, mintegy 4,83 milliárd dollárt.