Los expertos en seguridad definitivamente tiemblan cada vez que una multinacional se encuentra vulnerable a los ataques. Tales noticias nunca deben ser subestimados - revelados vulnerabilidades suelen dejar a millones de usuarios expuestos a la explotación.
Vamos a echar un vistazo a Yahoo! y el XSS (cross-site scripting) vulnerabilidad que podría haber permitido a los malos actores comprometer cuentas de correo electrónico de los usuarios con sólo el envío de un correo electrónico malicioso. Vamos a repetir la última parte - para explotar la vulnerabilidad, la única acción en nombre del usuario se acaba de abrir y ver su correo electrónico. Nada mas.
Que descubrió la vulnerabilidad XSS en Yahoo?
Un investigador finlandés, Jouko Pynnönen, ha descubierto y reportado el error de miedo. Esto es lo que el investigador ha dicho en su puesto original, noble Yahoo Mail XSS almacenado:
Una vulnerabilidad XSS almacenado en Yahoo Mail fue parcheado a principios de este mes. El código JavaScript malicioso defecto permitido a ser incorporado en un mensaje de correo electrónico con formato especial. El código sería evaluada de forma automática cuando se ve el mensaje. El JavaScript podría ser utilizado para por ejemplo. comprometer la cuenta, cambiar su configuración, y reenviar o enviar correo electrónico sin el consentimiento del usuario.
Todas las versiones de Yahoo afectados, Aparte de Aplicaciones Móviles
Además, la vulnerabilidad en cuestión ha afectado a todas las versiones del servicio de correo de Yahoo, la aplicación móvil excluido. Una de las razones que se deben agitar los usuarios es que Yahoo es el segundo mayor servicio de correo electrónico en el mundo. Casi 300 millones de cuentas de correo electrónico se registraron a partir de febrero 2014.
Por suerte, Yahoo dice que el fallo no se ha explotado y se fija en Enero 6 antes de que algo malo ha pasado.
Jouko Pynnönen ha hecho un alsó vídeo que ilustra el potencial explotar.
Desafortunadamente, este no es el primer fallo XSS encontrada en Yahoo, y probablemente no será la última. Afortunadamente, Yahoo, entre otros, tiene un programa de recompensas de errores que anima a los investigadores independientes para informar de los errores que descubren. Para este informe especial vulnerabilidad, el investigador finlandés fue recompensado $10,000.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: