Yahoo! đã cung cấp 24.000 USD cho một nhà nghiên cứu bảo mật vì đã tìm ra và báo cáo ba lỗ hổng bảo mật quan trọng trong các sản phẩm của mình, bao gồm cả Yahoo! Các cửa hàng và trang web do Yahoo! lưu trữ.
Trong khi thử nghiệm tất cả các ứng dụng của công ty, Đánh dấu Litchfield, một thợ săn tiền thưởng lỗi thường làm việc với các công ty khác nhau, đã phát hiện ra ba lỗ hổng nghiêm trọng trong các sản phẩm của Yahoo!. Tất cả ba lỗ hổng hiện đã được vá bởi Yahoo!.
BA LỖI KHÓA AN NINH NGHIÊM TRỌNG
Lỗ hổng đầu tiên và quan trọng nhất cung cấp cho tin tặc toàn quyền truy cập của quản trị viên vào nền tảng thương mại điện tử của Yahoo!, Yahoo! Doanh nghiệp nhỏ, một cổng thông tin cho phép các chủ doanh nghiệp nhỏ tạo cửa hàng web của riêng họ thông qua Yahoo! và bán hàng hóa.
Theo nhà nghiên cứu, lỗ hổng trong dịch vụ cho phép anh ta quản trị hoàn toàn bất kỳ cửa hàng Yahoo nào và do đó có quyền truy cập vào thông tin nhận dạng cá nhân của khách hàng, bao gồm tên, địa chỉ email, số điện thoại.
LỖI CHO PHÉP MUA SẮM MIỄN PHÍ
Litchfield tuyên bố, bên cạnh việc cho phép tin tặc có toàn quyền truy cập quản trị viên vào các cửa hàng web, lỗ hổng cũng có thể thúc đẩy kẻ tấn công sử dụng cửa hàng web Thương mại điện tử do người dùng điều hành để cho phép họ mua sắm miễn phí hoặc giảm giá lớn.
“Chúng tôi cũng có thể mua sắm miễn phí bằng cách thay đổi giá hoặc tạo mã giảm giá của riêng mình,” Litchfield nói trong một email mô tả vụ tấn công.”Ngoài ra, chúng tôi có thể đặt hàng, sau đó sau khi nhận được, hãy đi và hoàn lại tiền của chúng tôi.“
Một lỗ hổng riêng biệt nhưng có liên quan trong Yahoo! Cửa hàng, lỗ hổng thứ hai được phát hiện bởi Litchfield, cho phép người dùng trái phép chỉnh sửa Cửa hàng do Yahoo lưu trữ thông qua ứng dụng, từ đó tạo ra phương tiện để tin tặc chiếm đoạt một cửa hàng trang web trực tuyến.
Cuối cùng nhưng không kém phần quan trọng, Litchfield đã phát hiện ra một lỗ hổng nghiêm trọng trong cổng dành cho doanh nghiệp nhỏ của Yahoo cho phép tin tặc chiếm quyền truy cập quản trị vào Các trang web được lưu trữ trên Yahoo! và có được quyền truy cập đầy đủ, trái phép vào chúng.
Gã khổng lồ Internet đã vá cả ba lỗi cách đây hai tuần sau khi Litchfield công khai chi tiết và bằng chứng về các khái niệm khai thác trên Trụ sở tiền thưởng lỗimột cộng đồng dành cho trang web Bug Bounties, do Litchfield thành lập vào tháng trước để những người thợ săn khác chia sẻ những phát hiện của họ.
‘MẬT KHẨU THEO YÊU CẦU’
Tại phiên SXSW gần đây, Yahoo! ra mắt’mật khẩu theo yêu cầu,’ mà nó cho biết sẽ loại bỏ nhu cầu bạn phải nhớ mật khẩu email của mình. Bất cứ khi nào bạn cần, công ty sẽ gửi cho bạn mã OTP (mật khẩu dùng một lần) qua tin nhắn SMS đến điện thoại di động của bạn.
Đó là loại xác thực hai yếu tố—không có yếu tố đầu tiên liên quan, vì người dùng không cần bất kỳ mật khẩu đăng nhập nào để nhập. Để chọn tham gia tính năng này, hãy làm theo một số bước đơn giản:
- Đăng nhập vào tài khoản email Yahoo của bạn.
- Nhấp vào tên của bạn ở góc trên cùng bên phải để truy cập trang thông tin tài khoản của bạn.
- Chọn Bảo mật trong thanh bên.
- Nhấp vào thanh trượt cho mật khẩu theo yêu cầu để chọn tham gia.
- Nhập số điện thoại của bạn và Yahoo sẽ gửi cho bạn một mã xác minh.
- Nhập mã.
Bây giờ, vào lần tới, bất cứ khi nào bạn đăng nhập vào tài khoản email của mình, Yahoo sẽ gửi mật khẩu qua SMS đến điện thoại của bạn khi bạn cần.
Ngoài ra, mã hóa email đầu cuối mà Yahoo! hứa hẹn sẽ sớm ra mắt vào cuối năm nay. Công ty đã trình diễn lần đầu tiên về hệ thống nhắn tin bị khóa tại phiên SXSW và họ cũng đang cung cấp mã nguồn ban đầu để các nhà nghiên cứu bảo mật phân tích.
