XSS a další problémy Yahoo

Nedávno společnost Yahoo potvrdila únik údajů z miliardy účtů. Odcizené  informace mohou obsahovat jména, e-mailové adresy, telefonní čísla, data narození a kontrolní otázky s odpověďmi. Americká internetová společnost oznámila, že k útoku došlo v roce2013 az původního odhadu objemu úniku (500 miliónů) se tedy číslo vyšplhalo až k jedné miliardě.

Nyní ale společnost čelí dalším problémům – ukázalo se, že e-mailové účty byly snadno dostupné díky závažné cross-site scripting (XSS) bezpečnostní chybě. Zásadní problém spočíval v tom, že na rozdíl od obvyklých útoků, v tomto případě nebylo potřeba, aby uživatel aktivně otevřel přílohu či kliknul na URL v e-mailu. Chyba totiž spočívala v aplikaci HTML filtrů, které jsou využívány právě pro zabránění spuštění škodlivého kódu. Při dalším vyšetřování se ukázalo, že filtr bylo možné obejít posláním e-mailu obsahující odkaz na server YouTube, což umožnilo útočníkovi spustit JavaScript kód obsažený v e-mailu a tím získat přístup k e-mailu oběti. Společnost Yahoo už chybu opravila, její pověst v oblasti bezpečnosti ale padá nezadržitelně do propasti…

Další informace najdete zde: http://www.ibtimes.co.uk/yahoo-patches-critical-xss-vulnerability-that-would-allow-hackers-read-any-email-1595810