Kritičan propust u Yahoo Mailu omogućava hakerima da pristupe bilo kom nalogu
Vesti, 12.12.2016, 08:00 AM
Yahoo je sa 10000 dolara nagradio istraživača Jouko Pinonena koji je otkrio XSS (cross-site scripting) propust u Yahoo Mailu koji su hakeri mogli da iskoriste za pristup bilo kom nalogu. Yahoo je prošle nedelje ispravio ovaj propust.
Pinonen je otkrio da hakeri mogu da prevare Yahoovo HTML filtriranje i upadnu u nalog pomoću linkova koji kriju maliciozni JavaScript kod. Korisnici čak ne moraju da kliknu na linkove niti da otvaraju neke fajlove. Dovoljno je da otvore email hakera.
Pinonen je na svom blogu objasnio da propust omogućava napadaču da čita emailove žrtve ili da napravi virus koji će inficirati Yahoo Mail naloge. Da bi napad uspeo, potrebno je da žrtva pregleda email napadača. Druge interakcije žrtve, kao što je klik na link ili otvaranje priloga u emailu, nisu potrebne.
Yahoo je o ovom propustu obavešten 12. novembra. Kompanija je ispravila propust 29. novembra, tako da su svi korisnici sada bezbedni.
Pinonen je i prošle godine otkrio sličan XSS propust koji su hakeri takođe mogli iskoristiti za upad u naloge korisnika i čitanje emailova.
Yahoo Mail se već izvesno vreme ne smatra bezbednim email servisom, posebno posle otkrića da je kompanija krila da su hakeri 2014. kompromitovali najmanje 500 miliona naloga korisnika Yahoo Maila. To je otkriveno tek ove godine, kada je kompanija priznala da su hakeri pristupali informacijama korisnika kao što su imena, brojevi telefona, lozinke i email adrese.
Izdvojeno
Google oglasi za Facebook vode do sajtova prevaranata
Google ima problem sa oglasima u pretrazi, upozorio je programer Džastin Poliačik, a njegove reči potvrdili su i istraživači kompanije Malwarebyt... Dalje
Zloglasna ransomware grupa HelloKitty najavila povratak i novo ime
Sajber kriminalci iz ransomware grupe ranije poznate kao HelloKitty objavili su da se naziv grupe menja u „HelloGookie“. Oni su objavili n... Dalje
Piramidalna šema prevare na Telegramu
Istraživači kompanije Kasperski upozorili su na prevarante koji koriste sofisticiranu taktiku da ukradu Toncoine (TON) od korisnika Telegrama širom... Dalje
Od početka godine ransomware grupa Akira napala 250 organizacija od kojih je pokušala da naplati 42 miliona dolara
Da posao sa ransomwareom cveta pokazuju i podaci o ransomware grupi Akira koja je za manje od godinu dana rada iznudila milione od na stotine pogođen... Dalje
Microsoft je i dalje brend koji se najviše zloupotrebljava u phishing napadima
Prema podacima kompanije Check Point, Microsoft je brend koji se najviše zloupotrebljavao, u čak 38% svih phishing napada u prvom kvartalu 2024. Ovo... Dalje
Pratite nas
Nagrade