This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Hacker vende 700 dólares explotar que secuestra cuentas de correo electrónico de Yahoo

Filed Under: Data loss, Featured, Malware, Security threats, Vulnerability

For sale sign, courtesy of Shutterstock Un hacker es la venta de un $ 700 zero-day exploit para el correo de Yahoo que permite a un atacante aprovechar un cross-site scripting (XSS) para robar las cookies y secuestrar cuentas.

El hacker, que va por el TheHell mango, creó un video para promocionar la hazaña en Darkode, un mercado exclusivo cibercrimen subterráneo.

En el video, el que la seguridad blogger Brian Krebs reproducido y publicado en YouTube , TheHell muestra cómo acceder a la cuenta de la víctima.

En primer lugar, el atacante tendría que atraer a la víctima para que haga clic en un vínculo creado con fines malintencionados.

Según el video, una vez que la víctima abre ese vínculo, un registrador de registros de sus galletas. La víctima se redirige a la página de correo electrónico de Yahoo. El atacante puede redirigir sesión de navegación de la víctima a su antojo.

Las cookies logger sustituye a las cookies que robaron, los reclamos de vídeo, y permite al atacante acceder a la cuenta de correo electrónico Yahoo secuestrado.

El hacker echada de ventas promete que el exploit funciona en todos los navegadores, no requiere un atacante eludir IE o Chrome filtros XSS, y es una ganga para el precio:

.. "Estoy vendiendo xss Yahoo almacenados mensajes de correo electrónico de Yahoo que roban las galletas y funciona en todos los navegadores y no es necesario pasar por alto IE o Chrome xss filtro, ya que hacer eso sí, porque se almacena xss precios alrededor para tal hazaña es de $ 1.100 - $ 1.500, mientras que ofrezco aquí por $ 700. Se vende sólo a personas de confianza porque yo no quiero que sea parcheado pronto! "

Krebs ha alertado a Yahoo , que le dijo que estaba respondiendo a la vulnerabilidad.

La fijación del agujero de seguridad será simple, Yahoo dijo, pero encontrar que es harina de otro costal.

Por desgracia, el video dio algunos consejos valiosos para ayudar a Yahoo averiguar la URL yahoo.com que desencadena el exploit, Yahoo Director de Seguridad Ramsés Martínez dijo Krebs:

"La fijación es fácil, la mayoría de XSS son corregidos por el cambio de código simple .... Una vez que sepamos la URL ofender podemos tener nuevo código implementado en un par de horas a lo sumo."

Esperemos que, para cuando usted lea esto, el fallo se habrá solucionado.

Las fallas de XSS se han generalizado, apareciendo en (el Open Application Web Security Project OWASP ) lista de los 10 principales riesgos de seguridad de aplicaciones.

Yahoo Xssed.com , un sitio que los mensajes reportados ataques XSS, tiene muchos otros ejemplos de fallas de XSS que se han encontrado en las páginas de Yahoo.

Como explica OWASP, fallas de XSS ocurren cuando una aplicación toma datos no confiables y la envía a un navegador sin validar correctamente o que lo codifica. Las fallas permiten a los atacantes ejecutar secuencias de comandos en los navegadores de la víctima, que luego secuestrar sesiones de usuario, sitios web, desfigurar o redirigir al usuario a sitios maliciosos.

OWASP ofrece esta hoja de trucos sobre cómo prevenir las fallas de XSS, así como de otros recursos sobre cómo revisar el código y prueba de fallas de XSS.

Del lado del usuario, como señala Krebs, este es otro buen recordatorio que andar con cuidado cuando se trata de hacer clic en enlaces en correos electrónicos no esperamos o de usuarios que no conocemos.


Para muestra de la venta , por cortesía de Shutterstock </ sub

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

I've been writing about technology, careers, science and health since 1995. I rose to the lofty heights of Executive Editor for eWEEK, popped out with the 2008 crash, joined the freelancer economy, and am still writing for my beloved peeps at places like Sophos's Naked Security, CIO Mag, ComputerWorld, PC Mag, IT Expert Voice, Software Quality Connection, Time, and the US and British editions of HP's Input/Output. I respond to cash and spicy sites, so don't be shy.