L’ultimo pericolo in materia di sicurezza per Yahoo! Mail arriva dall’inferno, o per la precisione da un ignoto cracker che si fa chiamare “TheHell”: lo smanettone ha scovato una vulnerabilità Cross-site-scripting (XSS) sul popolare servizio di webmail statunitense, e l’ha poi messa in vendita a un prezzo che dice scontato rispetto al costo tipico di questo genere di “prodotti”.
Il fattaccio è stato scoperto dal “security blogger” Brian Krebs, che ha individuato l’offerta sul mercato nero delle vulnerabilità (Darkode) e ha ripresentato la clip video di TheHell su YouTube: la clip mostra il funzionamento dell’exploit, il quale costa “appena” 700 dollari – un affare per il mercato delle falle XSS dove in genere vengono chiesti 1.100, 1.500 dollari a vulnerabilità.
L’exploit spinge l’utente a visitare un URL malevolo dopo aver fatto l’accesso a Yahoo! Mail, e la conseguenza di questa visita sarà il “furto” dei cookie e la possibilità per il cyber-criminale di accedere all’account della vittima a proprio piacimento.
TheHell spiega che l’exploit funziona su tutti i browser, e dice di voler vendere la sua “scoperta” solo a “gente fidata” perché vuole ritardare l’applicazione di una patch al codice fallato quanto più è possibile. Interpellata da Krebs, Yahoo! risponde invece che gli ingegneri del software provvederanno a eliminare il problema (un lavoro di poche ore) una volta individuata l’URL a cui si riferisce il codice dell’exploit.
Alfonso Maruccia
Ti potrebbe interessare
27 nov 2012