پس از ماجرای درز اطلاعات حساب 500 میلیون کاربر در سال 2014 که یاهو آن را از همگان پنهان کرد، بسیار دشوار است دیگر بتوان از سرویس ایمیل این کمپانی به عنوان یک سرویس امن نام برد و هر بار که یک آسیب پذیری جدید شناسایی می شود، کاربران این سرویس را به شدت نگران می کند.
یک پژوهشگر امنیتی به نام Jouko Pynnonen یک رخنه امنیتی XSS جدید در سرویس یاهو میل شناسایی کرده که می تواند به نفوذگر امکان دسترسی آزادانه به هر حسابی را بدهد. یاهو نسبت به وجود این آسیب پذیری مطلع گردیده و 10,000 دلار پاداش به پژوهشگر امنیتی مذبور اعطا کرده است.
آنچه که یافته های آقای Pynnonen را نگران کننده می کند، آسیب پذیری شناسایی شده توسط اوی قادر به خواندن ایمیل های کاربران بدون نیاز به کلیک کردن کاربر روی لینک حاوی کد مخرب است. با بهره گیری از این آسیب پذیری، تنا کافی است تا کاربر ایمیل دریافت شده را باز کند و به هیچ اقدام اضافی از جمله اجرای لینک یا فایل نیاز نیست.
" این آسیب پذیری به نفوذگر امکان خواندن ایمیل های قربانی و یا انتشار بیشتر آلودگی در کنار کارهای مخرب بیشتری را می بخشد. حمله از طریق این آسیب پذیری تنها با به بازکردن ایمیل ارسال شده از سوی نفوذگر نیاز دارد و هیچ گونه اقدام اضافی شامل اجرای لینک یا فایل مخرب پیوست شده نیاز نیست."
کمپانی یاهو در روز 12 نوامبر نسبت به وجود این آسیب پذیری مطلع گردیده و با گذشت 17 روز، آن را در روز 29 نوامبر برطرف کرده است.
اگر به خاطر بیاورید، امسال یاهو اعتراف کرد در سال 2014 هکرهای ناشناس موفق به سرقت اطلاعات کاربران سرویس یاهو میل شده اند اما این موضوع تا آن زمان پنهان شده بود. تخمین زده می شود طی این رخداد مشخصات حساب بیش از 500 میلیون کاربر، شامل نام، شماره تلفن، کلمه عبور و آدرس ایمیل به سرقت رفته باشد. در چنین مواقعی انتظار می رود کمپانی سرویس دهنده به سرعت مشتریان خود را نسبت به درز اطلاعات مطلع سازد تا گام های پیشگیرانه نظیر تغییر کلمه عبور برداشته شود اما یاهو آن را مخفی کرد.
اوضاع سرویس ایمیل یاهو هنگامی وخیم تر می شود که سال گذشته نیز آقای Pynnonen یک آسیب پذیری مهلک دیگر شناسایی کرده بود که نفوذگر امکان دسترسی به حساب ها و خواندن هر ایمیلی را می بخشید.
نظر خود را اضافه کنید.
برای ارسال نظر وارد شوید
ارسال نظر بدون عضویت در سایت