Privacy

Yahoo แก้ไขช่องโหว่ที่ทำให้แฮกเกอร์สามารถเข้าถึงอีเมล์ของผู้ใช้คนอื่นได้

Yahoo แก้ไขช่องโหว่ cross-site scripting (XSS) ที่แฮกเกอร์สามารถใช้เพื่อเข้าถึงอีเมล์ของผู้ใช้ Yahoo คนอื่นได้

ถ้าหากช่องโหว่นี้ไม่ได้รับการแก้ไขโดยเร็วอาจทำให้ผู้ใช้กว่า 300 ล้านคนของ Yahoo ตกอยู่ในความเสี่ยงได้

คุณ Jouko Pynnönen นักวิจัยด้านความปลอดภัยของบริษัท Klikki Oy เป็นผู้ค้นพบช่องโหว่นี้ ซึ่งก่อนหน้านี้คุณ Pynnönen ก็เคยพบช่องโหว่ของ WordPress และ Uber มาก่อน

ช่องโหว่นี้ได้รับการแก้ไขแล้วโดยทีมงานความปลอดภัยของ Yahoo เป็นที่เรียบร้อยแล้ว โดยช่องโหว่ดังกล่าวทำให้ JavaScript สามารถฝังตัวอยู่ในอีเมล์พิเศษได้ ซึ่งอนุญาตให้แฮกเกอร์เข้าถึงอีเมล์ของผู้ใช้ได้ โดยไม่ต้องได้รับการยินยอมจากผู้ใช้เลย

yahoo-xss

โดยโค้ดอันตรายฝังอยู่ในอีเมล์ของแฮกเกอร์ โค้ดดังกล่าวสามารถเปลี่ยนการตั้งค่า และส่งข้อความไปยังบัญชีอื่น หรือปล่อยไวรัสได้

คุณ Pynnönen ได้รับเงินรางวัล 10,000 เหรียญสหรัฐฯจากการค้นพบครั้งนี้เป็นรางวัลในโครงการ Yahoo’s bug bounty program

%d bloggers like this: