Một nhà nghiên cứu cho biết ông đã phát hiện ra một lỗ hổng kịch bản chéo trang web (XSS) quan trọng khác trong Yahoo Mail. Lỗ hổng được vá gần đây có thể đã bị khai thác để đánh cắp email của người dùng được nhắm mục tiêu và đính kèm mã độc vào các tin nhắn gửi đi của họ.
Jouko Pynnönen của công ty phần mềm Klikki Oy có trụ sở ở Phần Lan đã phát hiện ra lỗ hổng XSS được lưu trữ đầu tiên trong Yahoo Mail vào tháng 12 năm 2015. Lỗ hổng đó, kiếm được 10.000 đô la, cho phép kẻ tấn công gửi email có chứa mã JavaScript ẩn sẽ được thực thi ngay khi tin nhắn đã được nạn nhân đọc.
Một hacker có thể đã khai thác lỗ hổng bảo mật để âm thầm chuyển các email của nạn nhân sang một trang web bên ngoài, thay đổi cài đặt của tài khoản Yahoo bị xâm nhập và tạo ra một vi-rút email có thể tự gắn vào chữ ký của tất cả các email gửi đi. Lỗi tồn tại do không thể lọc đúng mã độc tiềm ẩn trong email HTML.
Khoảng một năm sau, Pynnönen đã phát hiện ra lỗ hổng XSS được lưu trữ thứ hai trong Yahoo Mail. Lỗ hổng này có tác động tương tự và nó cũng kiếm được cho anh ta 10.000 đô la, nhưng nó liên quan đến mã được chèn vào email khi một loại nội dung nhất định được đính kèm.
Pynnönen nói với SecurityWeek hôm thứ Năm rằng ông đã phát hiện ra một lỗ hổng XSS được lưu trữ khác trong Yahoo Mail vào đầu tháng 12 năm 2018. Oath, công ty sở hữu Yahoo và các thương hiệu truyền thông lớn khác, đã giải quyết vấn đề này vào tháng 1 và trao cho chuyên gia 10.000 đô la cho phát hiện của ông.
Nhà nghiên cứu cho biết lỗ hổng bảo mật mới nhất, tương tự như lỗ hổng mà anh ta đã báo cáo trước đây, có thể cho phép kẻ tấn công đánh cắp hộp thư đến của người dùng hoặc thực hiện các hành động khác trong tài khoản email của họ chỉ bằng cách lấy mục tiêu để mở một email được chế tạo đặc biệt.
Chi tiết kỹ thuật về lỗ hổng chưa được tiết lộ vì Oath đã không cho phép Pynnönen công khai phát hiện của mình. Tuy nhiên, ông nói rằng việc khai thác liên quan đến lọc HTML cơ bản – giống như trong trường hợp điểm yếu đầu tiên mà ông phát hiện ra – chứ không phải là tệp đính kèm.
Oath đã báo cáo vào tháng 12 rằng họ đã trả 5 triệu đô la thông qua chương trình tiền thưởng lỗi do HackerOne cung cấp vào năm 2018. Tin tặc mũ trắng đã gửi 1.900 báo cáo lỗ hổng hợp lệ, bao gồm 300 lỗi được coi là nghiêm trọng hoặc nghiêm trọng . Công ty đã trao 400.000 đô la trong một sự kiện kéo dài một ngày tại San Francisco, nơi 41 tin tặc từ 11 quốc gia tiết lộ phát hiện của họ.