Yahoo Mail blijkt voor langere tijd bloot te hebben gestaan aan een XSS-lek. Een hacker toont in een video de simpele werking van de exploit.
Opnieuw is Yahoo slachtoffer geworden van een grote hack. Via een relatief gemakkelijke XSS-aanval (Cross Site Scripting) is de vijandige overname van miljoenen Yahoo-mailboxen mogelijk. Vervolgens wordt uit de naam van de gebruikers de aanval voortgezet via doorgestuurde kwaadaardige links per e-mail. Getroffenen ontvangen een reeks aan spamberichten.
Wachtwoord snel veranderen
Yahoo heeft het beveiligingslek inmiddels bevestigd. Het bedrijf komt met een patch voor het lek dat 400 miljoen mailboxen kwetsbaar maakt. Het is onduidelijk hoe lang het lek heeft opengestaan, maar verschillende Yahoo-gebruikers maken via Twitter bekend slachtoffer te zijn geworden. Yahoo raadt hen aan zo snel mogelijk hun wachtwoord te veranderen.
Hacker Shain Ramezany demonstreert de XSS-aanval in een online geplaatste video. In iets meer dan 4 minuten wordt de volledige overname van een mailaccount getoond. De aanval blijkt via alle populaire browsers mogelijk en werkt zoals gebruikelijk via Javascript. De hacker belooft met meer details te komen na een patch van Yahoo.
Vijandig verkeer
Deze is inmiddels bevestigd. In een korte verklaring tegenover The Next Web laat Yahoo weten dat het bewuste lek is gedicht. "We zijn onlangs geïnformeerd over een online video dat een kwetsbaarheid aantoont. We bevestigen dat deze is opgelost. Daarnaast onderzoeken we de recente meldingen van het toegenomen vijandig verkeer en zullen ijverig werken aan oplossingen", schrijft een woordvoerder.
Afgelopen juli werd Yahoo ook al slachtoffer van een hack. Daarbij kwamen destijds 450.000 gebruikersnamen en wachtwoorden op straat te liggen. Nog recenter claimde een Egyptische hacker een XSS-gat te hebben gevonden bij Yahoo. Het is onduidelijk of dit om hetzelfde beveiligingslek als in de demonstratievideo gaat.