Παρασκευή, 24 Νοέμβριος 2017, 6:46 μμ

Η Yahoo! προσέφερε $24.000 για τον εντοπισμό ευπαθειών

yahoo-vulnerabilities1

Η Yahoo! προσέφερε 24.000$ σε ερευνητή ασφαλείας για τον εντοπισμό και την αναφορά τριών σημαντικών (critical) ευπαθειών ασφαλείας στα προϊόντα της, συμπεριλαμβανομένων των Yahoo! καταστημάτων και των φιλοξενούμενων ιστοσελίδων στη Yahoo!

Κατά τη διάρκεια δοκιμών, ο ερευνητής ασφαλείας ευπαθειών Mark Litchfield εντόπισε τρεις κρίσιμες ευπάθειες ασφαλείας στα προϊόντα της Yahoo!. Σημειώνεται ότι και οι τρεις ευπάθειες που εντοπίστηκαν και αναφέρθηκαν από τον Mark Litchfield έχουν ήδη διορθωθεί.

Η πρώτη ευπάθεια, επιτρέπει πλήρη διαχειριστική πρόσβαση

Η πρώτη και σημαντικότερη ευπάθειας ασφαλείας θα μπορούσε να δώσει σε κάποιον κακόβουλο χρήστη πλήρη διαχειριστική πρόσβαση στη πλατφόρμα της Yahoo! στο e-commerce, το Yahoo! Small Business, μέσω της οποία μικρές επιχειρήσεις μπορούν να δημιουργήσουν το δικό τους ηλεκτρονικό κατάστημα.

Σύμφωνα με τον ερευνητή, η ευπάθεια ασφαλείας της υπηρεσίας επέτρεπε την πλήρη διαχείριση οποιουδήποτε καταστήματος της πλατφόρμας του Yahoo και κατ’ επέκταση την απόκτηση πρόσβασης σε ευαίσθητα προσωπικά δεδομένα των πελατών τους, συμπεριλαμβανομένων ονομάτων, διευθύνσεων ηλεκτρονικού ταχυδρομείου, αριθμών τηλεφώνου κ.α.

Η δεύτερη επάθεια επιτρέπει δωρεάν αγορές

Η επόμενη ευπάθεια που αναφέρθηκε από τον ερευνητή Mark Litchfield επιτρέπει σε έναν κακόβουλο χρήστη να επιτύχει δωρεάν ή με πολύ μεγάλη έκπτωση αγορές μέσω της πλατφόρμα του e-commerce της Yahoo!

Η δήλωση του Mark Litchfield:

«We could also shop for free by either changing the prices, or creating our own discount code. […] Also, we could place an order, then once received, go and refund our money.«

Η τρίτη ευπάθεια επιτρέπει το hijack ενός ηλεκτρονικού καταστήματος

Μια ξεχωριστή αλλά σχετική με τα ηλεκτρονικά καταστήματα της πλατφόρμας της Yahoo! ευπάθεια επιτρέπει σε κάποιον μη εξουσιοδοτημένο χρήστη να επεξεργαστεί τα φιλοξενούμενα καταστήματα της πλατφόρμας της Yahoo μέσω της εφαρμογής της, δημιουργώντας έτσι το μέσο για τους hackers να παραβιάσουν και να πάρουν τον έλεγχο ενός ηλεκτρονικού καταστήματος.

Οι ευπάθειες επιδιορθώθηκαν

Η Yahoo! επιδιόρθωσε και τις τρεις ανωτέρω ευπάθειες δύο εβδομάδες μετά από τη δημόσια αναφορά του ερευνητή Litchfield, και προέβη σε σχετικές δημοσιεύσεις στο Bug Bounty HQμια κοινότητα η οποία δημιουργήθηκε από τον ίδιο για την αναφορά bug ιστοσελίδων.

Έχετε εντοπίσει ευπάθεια ασφαλείας για τα προϊόντα της Yahoo! ;

Εάν έχετε εντοπίσει οποιαδήποτε ευπάθεια μπορείτε και εσείς να την υποβάλετε προς εξέταση στη Yahoo!, πατώντας εδώ.

Η Yahoo! προσέφερε 24.000$ σε ερευνητή ασφαλείας για τον εντοπισμό και την αναφορά τριών σημαντικών (critical) ευπαθειών ασφαλείας στα προϊόντα της, συμπεριλαμβανομένων των Yahoo! καταστημάτων και των φιλοξενούμενων ιστοσελίδων στη Yahoo! Κατά τη διάρκεια δοκιμών, ο ερευνητής ασφαλείας ευπαθειών Mark Litchfield εντόπισε τρεις κρίσιμες ευπάθειες ασφαλείας στα προϊόντα της Yahoo!. Σημειώνεται ότι και…
Χρήσιμο
Ευανάγνωστο

User Rating: 4.9 ( 2 votes)
88

Δείτε επίσης:

Δεύτερο ισχυρό χτύπημα για την Yahoo, η οποία ακόμα δεν έχει ανακάμψει από την αποκάλυψη του Σεπτέμβρη πως 500 εκ. λογαριασμοί χρηστών είχαν παραβιαστεί το 2014.

1 δισ. λογαριασμοί της Yahoo! παραβιάστηκαν το 2013

Δεύτερο ισχυρό χτύπημα για την Yahoo, η οποία ακόμα δεν έχει ανακάμψει από την αποκάλυψη …