Yahoo : une faille permettait d'espionner les mails des utilisateurs

Le par  |  1 commentaire(s) Source : Klikki
Yahoo-logo

Après avoir confirmé une fuite massive de données concernant 500 millions de comptes d'utilisateur, Yahoo a confirmé le colmatage d'une nouvelle faille qui permettait à des cybercriminels d'espionner les mails.

Yahoo est actuellement empêtré dans les scandales sécuritaires. À peine la firme américaine se remet d'une vaste cyberattaque qu'une nouvelle faille dans son service Mail est repérée.

Yahoo-Mail

C'est le chercheur en sécurité Youko Pynnönen de la société Klikki Oy qui a repéré la faille sur le service de messagerie de Yahoo. La faille, corrigée depuis par la maison mère, permettait à des individus s'insérer du code malveillant dans un message qui s'exécutait de façon automatique dès ouverture par son destinataire.

La simple ouverture du mail reçu suffisait ainsi à lancer l'attaque qui exploitait alors une faille de type cross site scripting pour permettre à l'attaquant de lire l'intégralité de la boite mail de sa cible et même de la copier pour la stocker vers un autre serveur distant pour une consultation ultérieure.

La faille se situait au niveau de la construction des pages de Yahoo Mail. Il était ainsi possible d'insérer un code JavaScript dans les attributs HTML sans qu'il ne soit possible au serveur de le détecter. Contacté, Yahoo a immédiatement opéré les modifications nécessaires à combler la faille en question, le chercheur ayant été remercié par l'attribution d'un chèque de 10 000 dollars, la somme prévue par le HackerOne Bug Bounty organisé par Yahoo.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Anonyme
Le #1938732
C'est bon, personne ne dit rien, personne n'est concerné, personne sur GNT n'utilise Yahoo
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]