Yahoo est actuellement empêtré dans les scandales sécuritaires. À peine la firme américaine se remet d'une vaste cyberattaque qu'une nouvelle faille dans son service Mail est repérée.
C'est le chercheur en sécurité Youko Pynnönen de la société Klikki Oy qui a repéré la faille sur le service de messagerie de Yahoo. La faille, corrigée depuis par la maison mère, permettait à des individus s'insérer du code malveillant dans un message qui s'exécutait de façon automatique dès ouverture par son destinataire.
La simple ouverture du mail reçu suffisait ainsi à lancer l'attaque qui exploitait alors une faille de type cross site scripting pour permettre à l'attaquant de lire l'intégralité de la boite mail de sa cible et même de la copier pour la stocker vers un autre serveur distant pour une consultation ultérieure.
La faille se situait au niveau de la construction des pages de Yahoo Mail. Il était ainsi possible d'insérer un code JavaScript dans les attributs HTML sans qu'il ne soit possible au serveur de le détecter. Contacté, Yahoo a immédiatement opéré les modifications nécessaires à combler la faille en question, le chercheur ayant été remercié par l'attribution d'un chèque de 10 000 dollars, la somme prévue par le HackerOne Bug Bounty organisé par Yahoo.
