Un usuario ha puesto a la venta por 700 dólares, en un foro de hackers, su método para secuestrar cuentas de correo de Yahoo. El ataque se desencadena tras hacer clic en un enlace.
La oferta ha sido publicada en el foro Darkcode, conocido por ser un punto de encuentro de hackers en la Red. Uno de ellos, procedente de Egipto, ha explicado (vídeo incluido) cómo aprovechar una vulnerabilidad del correo Yahoo, que permite secuestrar cuentas.
Explicados los efectos de este ataque, así como la forma de llevarlo a cabo (excepto secretos profesionales, suponemos), el hacker pide 700 dólares por ceder a alguien su método. Además, asegura que es una buena oportunidad, ya que el precio de otras ofertas similares está entre los 1.100 y los 1.500 dólares. Aunque, según afirma en su anuncio, no se la venderá a cualquiera sino sólo a “gente de confianza” porque no quiere que desde Yahoo publique un parche en poco tiempo.
La vulnerabilidad está basada en un agujero de seguridad XSS (cross-site scripting), que permiten a un tercero inyectar un código JavaScript en una página vista por el usuario. El ataque se desencadena al pinchar en un enlace de un correo recibido. Éste redirige a la misma página del correo, pero en medio se ha ejecutado un script, que habilita el acceso a las cookies y otra información privada. El atacante puede leer el correo de la víctima, así como enviar emails en su nombre.
Desde Yahoo aclaran que esta vulnerabilidad podría ser fácilmente resuelta, aunque sería necesario localizar cuál es la URL que realiza el ataque. En estas circunstancias, “podemos tener nuevo código desplegado en unas horas”, afirma el director de seguridad de la compañía Ramses Martinez, tal y como recoge Cnet.