Sur un forum de cybercriminalité, TheHell propose l'achat d'une faille cross-site scripting ( XSS ) présente dans Yahoo.com. Ce " hacker " égyptien demande 700 dollars pour son exploit. Un prix sacrifié puisqu'il souligne que normalement la gamme de prix varie entre 1 100 et 1 500 dollars.
TheHell promet un exploit fonctionnel sans la nécessiter de passer outre les filtres de sécurité présents notamment dans Internet Explorer et Google Chrome. La faille XSS est en effet permanente.
Krebs on Security explique que la faille dans Yahoo.com permet à un attaquant de voler des cookies d'utilisateurs de Yahoo! Mail.
" Une telle faille permet à des attaquants d'envoyer ou lire les emails du compte d'une victime. Dans une attaque XSS, un attaquant envoie un lien malveillant à un utilisateur. Si l'utilisateur clique sur le lien, le script est exécuté et peut accéder aux cookies, jetons de session ou autre information sensible retenue par le navigateur et utilisée avec le site "
, écrit le journaliste et chercheur en sécurité Brian Krebs.
Yahoo! a été alerté. Un responsable de la sécurité chez Yahoo! a déclaré que la plupart des failles XSS sont faciles à corriger. Le plus difficile sera de trouver l'URL de Yahoo.com servant à enclencher l'exploit.
L'article de Brian Krebs montre à quel point il est nécessaire de se montrer prudent avant de cliquer sur n'importe quoi et rappelle l'existence d'un marché noir de la cybercriminalité.
