Yahoo sửa lỗi từng cho phép đánh cắp tài khoản e-mail

Yahoo vừa sửa lỗi cho Yahoo Mail! từng cho phép tin tặc truy cập trái phép vào tài khoản e-mail cá nhân người dùng.

Theo công bảo mật ứng dụng web Cenzic, có một sai sót đã xảy ra trong quá trình giao tiếp giữa Yahoo webmail và phiên bản Yahoo IM 8.1.0.209. Cenzic đã thông báo cho Yahoo vấn đề này từ tháng 5/2008 và Yahoo bắt đầu sửa chữa từ 13/6.

Cũng theo Cenzic, nếu một hacker sử dụng ứng dụng IM để chat với nạn nhân đang sử dụng chức năng IM trong tài khoản e-mail (IM trên web), chúng có thể che giấu một đoạn kịch bản (script) độc hại rồi gửi qua IM. Script này sau đó sẽ thực thi ngay trong dịch vụ e-mail Yahoo trên máy tính nạn nhân.

Đoạn script này có thể lấy cắp được ID và mật khẩu e-mail rồi gửi cho kẻ tấn công. Sau đó những thông tin này sẽ được sử dụng để truy cập trái phép vào tài khoản e-mail người dùng.

Cenzic gọi lỗ hổng trên là dạng kịch bản liên miền (cross-site script), một lỗi khá phổ biến đe dọa sự an toàn của người dùng Web. Tin tặc có thể thực thi đoạn script hoặc dòng lệnh từ một ứng dụng Web để tấn công nạn nhân.

Khi đã kiểm soát được tài khoản, tin tặc sẽ dùng nó để phát tán thư rác. Yahoo và các nhà cung cấp e-mail miễn phí khác như Microsoft đang thấy được rất rõ làn sóng lợi dụng các dịch vụ của họ để phát tán spam.

Lỗ hổng trên cũng cho phép tin tặc truy cập trái phép vào danh sách liên lạc IM của người dùng. Kẻ tấn công sau đó sẽ phát tán các thông điệp rác qua danh sách, hoặc gửi đi những đường link dẫn đến các site chuyên khai thác lỗ hổng của trình duyệt và hệ điều hành để tấn công vào hệ thống máy tính nạn nhân.