חברת האבטחה הישראלת אבנט מצאה פריצה למערכת המייל של Yahoo. הפריצה כבר בתיקון לפי מקורות בYnet.

חברת האבטחה הישראלית Avnet מדווחת כי מצאה פריצה לדואר של Yhaoo, ופנתה לYnet כדי לפרסם את זה ברשת.
הפריצה היא בעצם פשוטה, ללא איזשהו התעסקות עם הקוד, או למצוא סיסמה בצורה אקראית. שליחה לחשבון אחר במערכת, עם קוד Html זדוני. אצל החשבון שנשלח אליו הקוד, ההודעה מתקבלת כרגיל, ללא שום בעיה. לעומת זאת, ללא ידיעת בעל החשבון במערכת נשלח לאותו שולח את העוגיות (Cookie) והאש, לאותו שרת שקבע השולח.

התוצאה?
גישה מלאה לחשבון של אותו מקבל, ושימוש כאילו החשבון היה שלו (חוץ משינוי סיסמה, וזאת רק בגלל ההקלדה של "הסיסמה הישנה").

כיום, לא באמת בעיה להעביר את האש והעוגיות לתוך המחשב (ממש, לערוך קובץ במחשב) ולהתחבר, פשוט וקל – ועובד.

מיקצוענים יותר, ישיגו גם את הפרטים של האש והעוגיה (למשל, האנשים בחברת האבטחה אבנט) ויוכלו גם לשנות את הפרטים והסיסמה.

הגישה היא מלאה למיקצוענים, וגם בשינוי סיסמה, אפשר לגשת ליומן או שירותים נלווים למערכת Yhaoo Mail.

לפי Ynet, ודוברת יאהו הפירצה כבר אותרה ונמצאת בשלבי תיקון. קלי פודבוי: "ענייני אבטחה, כמו הבאג הזה נלקחים ברצינות רבה ביאהו! פתחנו תיקון לבעיה, והיא כעת בשלבי הפצה לעולם. משתמשים בשירות הדואר של יאהו לא צריכים לנקוט בעצמם באף צעד כדי להיות מוגנים מהפריצה".

פריצות מאין כאלו עוד היו ונראה באתרים גדולים, ובשירותים כאלו ואחרים. האם באמת התקלה אותרה והיא כעת נמצאת בטיפול? קלי פודבוי מדווחת שכן, אך יכול להיות שזה כדי להרגיע את העניניים.

עידכון 00:20: גם "טל" מתגובה 10 בכתבה מוסר כי הבעיה נמצאת גם בAol וHotmail, האמנם? מישהו מוכן לבדוק לנו האם זה נכון?

ורגע, מישהו מתגובה 9 מראה קוד זדוני ככל הנראה, שמאפשר לפרוץ באותה הדרך לGmail? האם זה נכון? האם כל השירותים עשו טעות ואפשרו הכנסת קוד זדוני בהודעות? בתקווה שלא.

מקווה שהתקלה והפירצה תתגלה באמת, ותתוקן. ומשתשי השירות, לא יצטרכו לנקוט בעצמם שום צעד כדי להיות מוגנים. נקווה.
[מקור]