Vulnerabilidade do Yahoo Mail resultando em emails sem assunto e com um único link

Question

Vulnerabilidade do Yahoo Mail resultando em emails sem assunto e com um único link

#1 resposta do (1 votos)
#2 resposta do (1 votos)
#3 resposta do (0 votos)

1

Ultimamente recebi e-mails aleatórios de amigos do Yahoo Mail (ou sbcglobal.net, que usa o Yahoo Mail) sem um assunto e uma URL aleatória na qual eu não vou clicar.

Primeiro, achei que alguém havia recebido sua senha e recomendei que atualizasse as senhas.

Acabei de receber um email de alguém que alterou a senha na semana passada.

Isso é algum tipo de vulnerabilidade de script entre sites? Existe alguma maneira de descobrir apenas sendo o destinatário de uma das mensagens?

Aqui estão alguns dos cabeçalhos de um e-mail recente:

Received: from [999.999.999.999] by web83806.mail.sp1.yahoo.com via HTTP; Wed, 27 Jun 2012 09:23:30 PDT
X-Mailer: YahooMailWebService/0.8.118.349524
Message-ID: <[email protected]>
Date: Wed, 27 Jun 2012 09:23:30 -0700 (PDT)

O IP na lista negra do cabeçalho recebido era de um IP dinâmico na Noruega.

Portanto, suponho que a máquina nesse IP tenha conseguido obter o cookie do Yahoo Mail do meu amigo e o use para enviar e-mails para as pessoas em seu catálogo de endereços. Isso parece correto? Mesmo que alguém esteja usando uma conexão HTTPS com o Yahoo Mail, um e-mail especialmente criado poderá extrair o cookie e entregá-lo em outro lugar por meio de uma chamada RPCXML, certo?

Então, como você protege uma conta do Yahoo Mail de um ataque como esse?

ATUALIZAÇÃO: recebi e-mails como esse de quatro pessoas diferentes agora. Obviamente, não é um incidente isolado, e certamente há algo que os usuários do Yahoo Mail podem fazer para se protegerem.

spam-prevention yahoo-mail session-hijacking xss

por tomlogic 28.06.2012 / 07:23

3 respostas

Tags spam-prevention yahoo-mail session-hijacking xss

Há artes de ondas / som abertas? [fechadas] Ignore autoindent no vim para um retorno de carro

score 1 · Answer 1

@tomlogic: Eu estou querendo saber se isso está vindo da parte "Always-log-on" do Yahoo Toolbar. Não seria difícil falsificar a conexão https como proveniente de um servidor do Yahoo através do script da página, basicamente solicitando o ID do usuário em um formato seguro (embora, como você apontou, poderia facilmente ser o cookie da sessão, já que as sessões do Yahoo são praticamente indefinidas em extensão agora) para que a página saiba qual anúncio será exibido com base no perfil salvo.

Eu não tenho conhecimento de que este é realmente o caso, mas é assim que eu faria isso - você tem que desmarcar um monte de caixas quando você está configurando o e-mail do Yahoo (e vários outros aplicativos 'gratuitos') em ordem para evitar instalar essa barra de ferramentas pirada que não faz absolutamente nada além de fornecer uma caixa de busca do Yahoo (que usa mais?) e uma nova notificação por e-mail - mas também armazena cada site que você visita e tudo o que você digita em um formulário web não criptografado .

Enviei respostas para as 5 pessoas diferentes que me enviaram um desses e-mails com "nenhum assunto com link para o site de phishing" para alterar a senha de um computador diferente ou de um smartphone e, em seguida, executar um antivírus, bem como um anti-spyware, como MalwareBytes ou SpyBot, antes de entrar novamente no Yahoo em seu próprio computador, e também remover o Yahoo Toolbar e os aplicativos associados do Yahoo. Que valor agregado eles fornecem, de qualquer forma?

score 1 · Answer 2

Aconteceu com a minha conta do Yahoo também. A infecção resultou de um email direcionado para um link da Web que, sem querer, clicou em no meu Blackberry . Tive que alterar a senha, excluir a conexão do Blackberry para o e-mail do Yahoo e excluir minha lista de contatos do Yahoo apenas para estar no lado seguro. Ter relatado ao suporte ao cliente do Yahoo, mas eles só forneceram respostas padrão. Eu não tinha instalado a barra de ferramentas do Yahoo. Eu suspeito strongmente que o invasor está explorando alguma fraqueza na infraestrutura do Yahoo Accounts, possivelmente relacionada ao conector do Yahoo BIS para o Blackberry. Isso não parece uma tentativa de quebra de senha nem um seqüestro de sessão.

score 0 · Answer 3

Não é Cross Site Scripting.

Pode ser possível que seu amigo seja uma vítima de Phishing ou infected by spyware em seu PC. Existem muitos tipos de spywares na Internet SEA que rouba senhas de usuários, detalhes de cartão de crédito, cookies, etc detalhes importantes.

Esse tipo de autobots se instala no navegador como complemento ou extensão e carrega e envia spams.

Para ser seguro Atualize seu navegador com freqüência e use bons spywares (Spybot search e Destroy).