Yahoo! Mail : faille XSS vendue 700 dollars

Le par  |  0 commentaire(s)
logo-yahoo

Pour près de 550 euros, un pirate égyptien se présentant sous le pseudonyme de TheHell met en vente une faille XSS permettant de détourner des comptes Yahoo! Mail.

Sur un forum de cybercriminalité, TheHell propose l'achat d'une faille cross-site scripting ( XSS ) présente dans Yahoo.com. Ce " hacker " égyptien demande 700 dollars pour son exploit. Un prix sacrifié puisqu'il souligne que normalement la gamme de prix varie entre 1 100 et 1 500 dollars.

TheHell promet un exploit fonctionnel sans la nécessiter de passer outre les filtres de sécurité présents notamment dans Internet Explorer et Google Chrome. La faille XSS est en effet permanente.

Krebs on Security explique que la faille dans Yahoo.com permet à un attaquant de voler des cookies d'utilisateurs de Yahoo! Mail.

" Une telle faille permet à des attaquants d'envoyer ou lire les emails du compte d'une victime. Dans une attaque XSS, un attaquant envoie un lien malveillant à un utilisateur. Si l'utilisateur clique sur le lien, le script est exécuté et peut accéder aux cookies, jetons de session ou autre information sensible retenue par le navigateur et utilisée avec le site "

, écrit le journaliste et chercheur en sécurité Brian Krebs.

Yahoo! a été alerté. Un responsable de la sécurité chez Yahoo! a déclaré que la plupart des failles XSS sont faciles à corriger. Le plus difficile sera de trouver l'URL de Yahoo.com servant à enclencher l'exploit.

L'article de Brian Krebs montre à quel point il est nécessaire de se montrer prudent avant de cliquer sur n'importe quoi et rappelle l'existence d'un marché noir de la cybercriminalité.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]