Portal Yahoo possui vulnerabilidades graves, diz hacker egípcio

Foi encontrada falha que permite acesso completo de domínio da empresa, vulnerabilidade cross-site scripting (XSS) e injeção SQL.

Um hacker egípcio divulgou detalhes vagos sobre três vulnerabilidades que ele alega ter encontrado no portal do Yahoo. Essa é a segunda vez em dois meses que ele encontra problemas no site de uma grande empresa de tecnologia.

O hacker, que se autodenomina “Virus_Hima”, liberou screenshots com os quais ele supostamente comprova os problemas que encontrou – um deles permitiu acesso a um backup completo de um dos domínios do Yahoo. Os outros dois problemas são uma vulnerabilidade cross-site scripting (XSS) e uma de injeção SQL, de acordo com um post no Pastebin.

Virus_Hima disse que não publicou os dados que coletou ao explorar as vulnerabilidades do Yahoo desde que afirmou ter ganho o respeito dos fornecedores depois de ter encontrado outras vulnerabilidades em serviços de grandes fornecedores como a Adobe e o próprio Yahoo.

Em novembro, Virus_Hima vazou um lote de mais de 200 endereços de e-mail que ele obteve de um banco de dados ​​pertencente a Adobe Systems. Ele só lançou endereços terminados em “adobe.com”, “.mil” e “.gov”. Outros dados divulgados incluiam os nomes completos das vítimas, títulos, organizações, endereços de e-mail, nomes de usuário e senhas criptografadas de usuários de diversas agências governamentais dos EUA.

A Adobe, em seguida, encerrou o site Connectusers.com, um fórum comunitário de usuários de seu serviço de conferências Connect Web.

Virus_Hima escreveu que depois de ter publicado os dados da Adobe, a empresa entrou em contato com ele e disse que o problema estaria corrigido. Ele escreveu que anteriormente as companhias esperam de três a quatro meses antes de resolver as questões.

O cracker também escreveu que ele não é a pessoa que anunciou a venda da vulnerabilidade de cross-site scripting em um fórum hacker por 700 dólares – notícia essa que foi dada pelo blog Krebs on Security.

Mas Virus_Hima parece estar mantendo a calma por enquanto. “Eu não estou planejando fazer qualquer vazamento em breve”, disse. Ele também tinha uma dica para fornecedores de software: “Sempre seja proativo, não reativo, para melhor proteger seus dados sigilosos.”

Representantes do Yahoo não puderam ser imediatamente contatados para comentar sobre o assunto.

 

Por IDG Now! – Publicado em 18/12/2012

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s