Το Yahoo Mail μπορεί να θεωρηθεί μια από τις χειρότερες υπηρεσίες e-mail που κυκλοφορεί στο διαδίκτυο σε θέματα ασφαλείας. Το 2014 η εταιρεία μετά από ένα hack εξέθεσε 500 εκατομμύρια λογαριασμούς, αλλά αποφάσισε να το κρατήσει μυστικό, εκθέτοντας τους χρήστες της σε πολύ σοβαρούς κινδύνους.
Τι έχει αλλάξει σήμερα; Μάλλον όχι και πάρα πολλά:
Ο ερευνητής ασφαλείας Jouko Pynnonen ανακάλυψε ένα ελάττωμα ασφαλείας cross-site scripting (XSS) στην υπηρεσία Yahoο Mail που δίνει ουσιαστικά τη δυνατότητα σε κάποιον εισβολέα να έχει πρόσβαση σε οποιοδήποτε λογαριασμό και να διαβάσει μηνύματα ηλεκτρονικού ταχυδρομείου ελεύθερα.
Η Yahoo φέρεται να επιδιόρθωσε αυτό το ελάττωμα την περασμένη εβδομάδα ανταμείβοντας τον ερευνητή με 10.000 δολάρια, σύμφωνα με το πρόγραμμα bug bounty της εταιρείας.
Το χειρότερο από όλα ήταν ότι οι χρήστες δεν χρειαζόταν καν να κάνουν κλικ σε συνδέσμους ή να ανοίξουν συνημμένα αρχεία. Έφτανε να ανοίξουν το μήνυμα του ηλεκτρονικού ταχυδρομείου που τους απέστειλε ο hacker.
«Το ελάττωμα επιτρέπει σε έναν εισβολέα να διαβάσει το email ενός θύματος ή να δημιουργήσει έναν ιό για να μολύνει λογαριασμούς του Yahoο Mail, μεταξύ άλλων. Η επίθεση απαιτεί από το θύμα να δει ένα μήνυμα ηλεκτρονικού ταχυδρομείου που αποστέλλεται από τον εισβολέα. Δεν χρειάζεται καμία περαιτέρω αλληλεπίδραση (όπως κλικ σε ένα σύνδεσμο ή το άνοιγμα ενός συνημμένου)» αναφέρει ο ερευνητής.
Η Yahoo ενημερώθηκε για το hack στις 12 Νοεμβρίου και το επιδιόρθωσε στις 29 Νοεμβρίου. Έτσι τώρα υποτίθεται ότι είστε ασφαλείς.