Total Security - totalsecurity.com.br
Falha em recurso do Yahoo permite roubo de dados de usuários
Crackers podem ler e-mails, visualizar contatos e outros dados privados das contas de usuários do Yahoo que visitam uma página maliciosa comprometida por conta de uma falha em um recurso presente na rede do site, de acordo com um pesquisador de segurança independente.
Uma versão limitada do golpe foi demonstrada no domingo (2/12), durante a conferência de segurança DefCamp, que aconteceu em Bucareste, na Romênia. Quem realizou a demonstração foi o romeno Sergiu Dragos Bogdan, especializado em encontrar bugs em aplicativos web.
Em sua apresentação, o pesquisador mostrou como o recurso YQL (Yahoo Query Language) pode ser explorado por crackers com a finalidade de executar comandos YQL em nome de usuários autenticados que visitaram páginas maliciosas.
O recurso de desenvolvedor YQL é vulnerável a ataques de exploração cross-site, ou seja, crackers podem explorar essa falha para injetar scripts maliciosos dentro das páginas web e desencadear o ataque.
O YQL é uma linguagem de programação desenvolvida pelo Yahoo e é similar ao SQL (Structured Query Language). Ela pode ser usada para consultar, filtrar e combinar informações armazenadas na base de dados.
Usuários não autenticados podem apenas executar consultas YQL em tabelas que contêm informações publicamente visíveis no Yahoo, como dados do Yahoo Answers, Yahoo Weather e outros serviços.
No entanto, quando autenticados, os usuários ganham acesso a tabelas que contêm informações de suas próprias contas, incluindo e-mails, contatos e informações privadas do perfil.
Uma versão limitada do golpe foi demonstrada no domingo (2/12), durante a conferência de segurança DefCamp, que aconteceu em Bucareste, na Romênia. Quem realizou a demonstração foi o romeno Sergiu Dragos Bogdan, especializado em encontrar bugs em aplicativos web.
Em sua apresentação, o pesquisador mostrou como o recurso YQL (Yahoo Query Language) pode ser explorado por crackers com a finalidade de executar comandos YQL em nome de usuários autenticados que visitaram páginas maliciosas.
O recurso de desenvolvedor YQL é vulnerável a ataques de exploração cross-site, ou seja, crackers podem explorar essa falha para injetar scripts maliciosos dentro das páginas web e desencadear o ataque.
O YQL é uma linguagem de programação desenvolvida pelo Yahoo e é similar ao SQL (Structured Query Language). Ela pode ser usada para consultar, filtrar e combinar informações armazenadas na base de dados.
Usuários não autenticados podem apenas executar consultas YQL em tabelas que contêm informações publicamente visíveis no Yahoo, como dados do Yahoo Answers, Yahoo Weather e outros serviços.
No entanto, quando autenticados, os usuários ganham acesso a tabelas que contêm informações de suas próprias contas, incluindo e-mails, contatos e informações privadas do perfil.
Fonte:
IDGNOW
URL Fonte: https://totalsecurity.com.br/noticia/2804/visualizar/
Comentários