Yahoo! chặn lỗi nguy hiểm trong mail
Trong ngày 7/1/2013, nhiều người dùng "than vãn" trên các mạng xã hội Facebook và Twitter rằng tài khoản Yahoo! Mail của mình đã bị hack sau khi click vào một liên kết (link) gửi kèm trong email đến hộp thư.
Theo The Next Web, website công nghệ đầu tiên đăng tải thông tin về lỗi, một nhà phân tích bảo mật tại công ty bảo mật Abysssec mang tên Shahin Ramezany đã đăng tải một video clip nêu rõ cách thức khai thác lỗi từ dịch vụ webmail Yahoo! Mail để chiếm dụng một tài khoản người dùng. Lỗi thuộc dạng XSS, có thể thực hiện trên tất cả các trình duyệt web.
Video clip này lập tức được phát tán, kĩ thuật tấn công chiếm dụng tài khoản cũng khá đơn giản, số tài khoản bị tấn công theo đó tăng lên. Chỉ cần thực hiện tìm kiếm với từ khóa "Yahoo hacked" trên Twitter, danh sách hàng loạt nạn nhân đăng tải thông tin xuất hiện.
Trước đó vào cuối tháng 11/2012, một hacker người Ai Cập mang bí danh TheHell đã đưa ra mức giá 700 USD cho lỗi tương tự. Khi so sánh hai video clip, cách khai thác của Shahin Ramezany thực hiện trong bốn phút, trong khi đó, cách thức của TheHell vỏn vẹn trong 90 giây.
Shahin Ramezany cho rằng lỗi này ảnh hưởng tất cả 400 triệu người dùng Yahoo! Mail nhưng chỉ đưa video clip thông tin lỗi lên khi Yahoo! tiến hành khắc phục.
Một khi click vào liên kết độc hại, hacker sẽ có thể giả danh địa chỉ email của bạn và gửi đến toàn bộ địa chỉ email trong danh bạ của nạn nhân theo cùng một email có tiêu đề và liên kết bên trong. Theo đó, số nạn nhân sẽ tăng lên theo những lần click.
Yahoo! nhanh chóng khắc phục lỗi
Vài giờ sau khi thông tin khai thác lỗi được công bố trên Internet, Yahoo! đã lên tiếng xác nhận về lỗi được minh họa trong video clip của Shahin Ramezany.
Ngoài ra, Yahoo! cũng xác nhận đã khắc phục lỗi này và vẫn tiếp tục điều tra thêm vụ việc.
Toàn bộ người dùng Yahoo! Mail được khuyến cáo đổi mật khẩu tài khoản và hạn chế click vào những liên kết kèm theo trong nội dung email, kể cả những liên kết đáng ngờ từ tài khoản người quen, vì tài khoản của họ có thể đã bị hack.
Theo TTCN |