Egy újabb Yahoo-botrányt sikerült megelőzni
Nem ez az első alkalom, hogy sérülékenységet fedeznek fel a Yahoo levelezőjében
Nézze meg a sporthíreket is
Iratkozzon fel hírlevelünkre Nézze meg a sporthíreket is
Csatlakozzon hozzánk közösségi oldalainkon is!
A Yahoo nemrég foltozott be egy olyan kritikus sérülékenységet levelezőszolgáltatásában, amit kihasználva könnyedén kémkedhettek volna támadók bármelyik felhasználó levelei után.
Újabb botránytól menekülhetett meg a Yahoo, most a felhasználói levelei voltak veszélyben egy sérülékenység miatt. XSS (Cross-Site Scripting), azaz szkriptbeszúrásos módszerrel a hackerek kártékony kódot tartalmazó e-mailt küldhettek volna az áldozatok yahoo-s címére, hogy kiszipkázzák bejövő leveleik tartalmát.
Szerencsére ezt még időben felfedezte a Klikki Oy biztonsági cég szakembere, aki blogposztjában részletezte a módszert.
Mivel a támadó a kódot az üzenet törzsében rejti el, már abban a pillanatban aktiválódik, hogy az e-mailt megnyitja az áldozat. Ezután az üzeneteinek tartalma feltöltődik a támadó által készített külső oldalra.
Ez azért történhetett volna meg, mert a Yahoo Mail nem szűrte megfelelően a HTML-es e-mailekben a kártékony kódokat. A szakember úgy fedezte fel a hibát, hogy minden ismert HTML-taggel elkezdte bombázni a Yahoo szűrőjét,
ami a teszt során káros kódot is átengedett.
A Yahoo bugvadász programján belül 10 ezer dollár (közel hárommillió forint) jutalmat kapott a sérülékenység felfedezéséért, a cég pedig még azelőtt javítást tudott kiadni, hogy valaki kihasználta volna a hibát.
Jutalom a talált hibák után
Több nagy cégnek, köztük a Facebooknak is van hibakereső (bug bounty) programja, ennek keretében pénzjutalmat ajánl fel azoknak, akik bejelentik az általuk talált sérülékenységeket, bugokat. Nem csak a cégek ismerik fel ennek a módszernek a hatékonyságát: a Pentagon idén márciusban indította el saját ilyen kezdeményezését, amelyben külsős hackerek segítségét kéri, természetesen alapos átvilágítás után. Ők szűrik ki a biztonsági hibákat weboldalaikon, ezért pénzjutalmat kapnak.A Yahoo szeptemberben jelentette be, hogy egy augusztusi vizsgálat során sikerült kideríteni: legalább félmilliárd felhasználó személyes adatait nyúlták le a támadók, köztük születési dátumokat, e-mail címeket, jelszavakat és telefonszámokat.
A masszív hekkelést egy hónappal azután jelentették be, hogy a Verizon ajánlatot tett a cég felvásárlására, mintegy 4,83 milliárd dollárt.
origo.hu
Látványos felvétel, így törtek össze az autók az M6-oson a brutális tömegbalesetben - videó
origo.hu
Miss Universe: nem kímélik a győztes nőt
borsonline.hu
Mentőhelikopter érkezett, de mindhiába: elhunyt egy 14 éves lány
mandiner.hu
Oroszország figyelmét is felkeltette: Magyarország légvédelmi rendszereket telepít az ukrán határhoz
ripost.hu
Kőkemény műveltségi teszt: ha 7-re helyesen válaszolsz, már átlagon felüli vagy!
vg.hu
Fordulat: Karácsony Gergely döntött a főpolgármester-helyettesekről – óriási meglepetés Budapesten
origo.hu
Döntő lépésre szánta el magát Putyin
nemzetisport.hu
Elismerte az UEFA, nagyot hibázott a videóbíró
origo.hu
Andrei Mangra botránya folytatódik: egy boltban is balhézott a táncos
origo.hu
Hadas Kriszta lánya megható képpel búcsúzott édesanyjától
origo.hu
Vastagbélrák szűrése: kiderült, mennyire hatékony a vérteszt
origo.hu
