Actualidad

Cuentas de Yahoo hackeadas por un ataque XXS

Una nueva campaña de ataques a través de mensajes de correo electrónico ha explotado una vulnerabilidad de la web de Yahoo con la intención de robar cuentas de correo de sus usuarios y poner en marcha a ataques de spam,según Bitdefender.

El ataque se inició con el envío de correos basura, con el nombre del usuario en la línea de asunto y el mensaje “chequea esta página” con el enlace abreviado “bit.ly”. Al pinchar en el link, se iba a una web enmascarada de noticias de MSNBC que contenía un artículo sobre cómo hacer dinero trabajando desde casa, según los expertos de Bitdefender.

En un primer vistazo, no parece diferente a otros señuelos utilizados anteriormente. Sin embargo, más en profundidad, puede detectarse un código Javascript que aprovecha un fallo de código (XSS) en el sitio web de la red de desarrolladores de Yahoo (YDN) para robar la cookie de sesión del visitante.

Estas cookies son las únicas líneas de texto de los navegadores internos de la web que guarda los datos de registro de los usuarios, hasta que se dan de baja. Los navegadores Web utilizan un mecanismo de seguridad que sigue la política de “mismo origen” para prevenir que las webs sean abiertas en diferentes pestañas y acceder a los recursos.

Esta política suele estar reforzada por el dominio. SeguridadPor ejemplo, google.com no puede acceder a la sesión de cookies de yahoo.com, incluso aunque el usuario esté registrado en ambas webs al mismo tiempo y en el mismo browser. Sin embargo, dependiendo de la configuración de estas cookies, los subdominios pueden acceder a algunas sesiones mediante dominios del mismo usuario.

Este parece ser el caso de Yahoo ahora, ya que el usuario sigue registrado independientemente del subdominio de Yahoo que visite, incluyendo “developer.yahoo.com”.

 



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper