ثغرة خطيرة تمكن حرفيا من اختراق أي بريد إلكتروني على ياهو
من الصعب تصنيف
ياهو مايل كخدمة إيمايل آمنة، خصوصا بعد تعرض الشركة الأم ياهو إلى اختراق ضخم عرض
500 مليون حساب للاختراق سنة 2014 وسكوتها عن الأمر وإخفائه عن مستخدميها، حيث لم نكتشف الأمر إلا مؤخرا هذه السنة.
ياهو مايل كخدمة إيمايل آمنة، خصوصا بعد تعرض الشركة الأم ياهو إلى اختراق ضخم عرض
500 مليون حساب للاختراق سنة 2014 وسكوتها عن الأمر وإخفائه عن مستخدميها، حيث لم نكتشف الأمر إلا مؤخرا هذه السنة.
ياهو
فعلا سيئة جدا فيما يتعلق بالجانب الأمني كما تظهر التقارير سنة بعد أخرى.
فعلا سيئة جدا فيما يتعلق بالجانب الأمني كما تظهر التقارير سنة بعد أخرى.
قام الباحث Jouko Pynnonen باكتشاف ثغرة خطيرة من نوع (cross-site scripting (XSS في خدمة ياهو مايل حيث تمكن ببساطة وحرفيا من
الوصول لأي حساب ياهو وقراءة علبة الرسائل الواردة بكل حرية.
الوصول لأي حساب ياهو وقراءة علبة الرسائل الواردة بكل حرية.
ياهو هذه المرة
وعلى غير المعتاد قامت بترقيع الثغرة الأسبوع المنصرم وقد منحت الباحث مبلغ 10
آلاف دولار، وفقا لبرنامج المكافآت الخاص بها.
وعلى غير المعتاد قامت بترقيع الثغرة الأسبوع المنصرم وقد منحت الباحث مبلغ 10
آلاف دولار، وفقا لبرنامج المكافآت الخاص بها.
لا حاجة لأي تحرك
للمستخدم.
للمستخدم.
يشرح الباحث أنه
كان من الممكن للمهاجم النفود (التسلل) لأي حسب فقط من خلال تجاوز مرشحات HTML لياهو باستعمال روابط تخفي أكواد جافا
سكربت خبيثة.
كان من الممكن للمهاجم النفود (التسلل) لأي حسب فقط من خلال تجاوز مرشحات HTML لياهو باستعمال روابط تخفي أكواد جافا
سكربت خبيثة.
الأسوء أن
المستخدمين لم يكونوا قادرين على تجاوز الثغرة بأي شكل من الأشكال، فاحتياطات من
قبيل عدم الضغط على روابط مفخخة ولا شيء آخر من هذا القبيل لم تكن لتنفع، الهاكر
بحاجة فقط إلى إرسال رسالة بهيئة تبدو جذابة ليتم اختراق الضحية فقط بمجرد فتح
الرسالة لقراءتها دون الضغط على أي شيء أو الرد عليها…
المستخدمين لم يكونوا قادرين على تجاوز الثغرة بأي شكل من الأشكال، فاحتياطات من
قبيل عدم الضغط على روابط مفخخة ولا شيء آخر من هذا القبيل لم تكن لتنفع، الهاكر
بحاجة فقط إلى إرسال رسالة بهيئة تبدو جذابة ليتم اختراق الضحية فقط بمجرد فتح
الرسالة لقراءتها دون الضغط على أي شيء أو الرد عليها…
جدير بالذكر أنه تم إعلام ياهو بالثغرة في 12 من نوفمر ولم يتم ترقيعها إلا
في يوم 29 من نفس الشهر، والغريب في الأمر أن نفس الباحث الأمني قد اكتشف ثغرة -لنقل أنها مماثلة في الخطورة – السنة الماضية من نفس النوع، أي XSS، هذا إن دل على شيء فإنما يدل على لا مبالات الشركة بالجانب الأمني كما صرحت بذلك الكثير من المواقع المختصة.