Yahoo– მ დააფიქსირა ხარვეზი საფოსტო მომსახურება ამას შეეძლო ჰაკერებს მიეცათ მომხმარებლის ელ.ფოსტის მოსმენის უფლება ერთი და იგივე შეცდომის გამოვლენიდან და დაპატიმრებიდან თითქმის ერთი წლის შემდეგ. ფინელმა ჯოკო პინონენმა Yahoo- სგან მიიღო 10,000 აშშ დოლარი ახალი მოწყვლადობის გამჟღავნებისათვის, რომელიც Yahoo- მ გასულ თვეში დააფიქსირა.
ხარვეზი ეხებოდა სკრიპტების გადაკვეთას, რომელიც თავდამსხმელს აძლევდა მომხმარებლის ელ.ფოსტის წაკითხვის ან Yahoo Mail ანგარიშების ინფიცირების ვირუსის შექმნის ნებართვას. პინონენმა განმარტა, რომ მომხმარებელმა უნდა იხილოს თავდამსხმელის ელ.ფოსტა, რომ ხარვეზი იმუშაოს.
ეს შეცდომა მსგავსი იყო Yahoo Mail– ის ძველი ხარვეზისა, რომელიც პინონენმა გასულ წელს აღმოაჩინა, რამაც ჰაკერებს Yahoo Mail ანგარიშის სრული კონტროლის შესაძლებლობა მისცა.
Yahoo ფილტრების ნაკლოვანება
Pynnonen- მა დაასახელა Yahoo- ს ფილტრის HTML შეტყობინებების ნაკლოვანება, როგორც ბოლოდროინდელი მოწყვლადობის დამნაშავე. ფილტრი მუშაობს მომხმარებლის ბრაუზერის მავნე კოდის დასაბლოკად. მკვლევარის აზრით, ფილტრმა ვერ აიღო მონაცემთა მავნე ატრიბუტები. ამის შემდეგ ჰაკერმა შეიძლება შეასრულოს მავნე JavaScript მხოლოდ მსხვერპლისთვის პირადი ელ.ფოსტის გაგზავნით.
მკვლევარმა აღმოაჩინა ხარვეზი ელ.ფოსტის შედგენის თვალსაზრისით, სადაც დანართის სხვადასხვა ვარიანტებმა მიიპყრო ყურადღება HTML ძირითადი ფილტრაციის პოტენციურ შეცდომებზე. შემდეგ Pynnonen- მა შექმნა ელ.ფოსტა სხვადასხვა დანართებით და გაგზავნა შეტყობინება გარე საფოსტო ყუთში. შემოწმებისას ნედლეული HTML- ში, რომელიც შეიცავს ელ.ფოსტაში, მუქარის ატრიბუტებმა მიიპყრო მისი ყურადღება.
”ის, რაც თვალისმომჭრელი იყო, იყო data- * HTML ატრიბუტები. პირველ რიგში, მივხვდი, რომ ჩემი შარშანდელი მცდელობა, Yahoo- ის ფილტრის მიერ დაშვებული HTML ატრიბუტების ჩამოთვლა, ყველას ვერ დაიჭირეს. ”
Pynnonen ფიქრობდა, რომ შესაძლებელია რამდენიმე HTML ატრიბუტის ჩადგმა, რომლებიც Yahoo- ს HTML ფილტრში გაივლიან. მან საბოლოოდ იპოვა პათოლოგიური შემთხვევა მას შემდეგ, რაც შეურაცხმყოფელი მონაცემები- * ატრიბუტებით ელ.წერილი შეადგინა.
Yahoo იყო ცეცხლი ცეცხლის ქვეშ ამ წლის დასაწყისში, მას შემდეგ, რაც ნათქვამია, რომ მინიმუმ 200 მილიონი ფოსტის ანგარიში გაიყიდა ბნელ ქსელში.
ასევე წაიკითხეთ:
- როგორ შეხვიდეთ Windows 10 ფოსტაში Yahoo ანგარიშით
- Yahoo Mail პროგრამა Windows 10-ისთვის ახლა სინქრონიზირებს კონტაქტებს Microsoft People- თან
