Artykuły dotyczące tematu: yahoo

dodany: 11.03.2013 | tagi: ,

Poczta Yahoo znów w opałach

1

Widać ktoś bardzo nie lubi poczty Yahoo – po niedawnych atakach XSS (zobacz newsa: Konta Yahoo uprowadzone przez atak XSS-Type) nastąpiła kolejna fala uderzeniowa na tę usługę – tym razem problem dotyczy konkretnie użytkowników dostawcy Internetu BT Yahoo. W ostatnich dniach wielu użytkowników poskarżyło się na sporą ilość spamu, a w niektórych przypadkach nawet na zablokowane konto, w związku z nieautoryzowaną zmianą haseł!

Przeszło 6 milionów klientów operatora zauważyło podejrzaną aktywność na swoim koncie – jeden z nich przejrzał historię logowań i co ciekawe, wg użytkownika bowdon, ktoś w ostatnim czasie logował się na jego koncie z Polski. Inny użytkownik odnotował logowanie w Holandii.

zgłoszenie Yahoo

Spam z zaatakowanych kont rozsyłał się automatycznie do wszystkich kontaktów – jeden z pokrzywdzonych zobaczył, że spam z jego konta został wysłany także do firm u których starał się o pracę.

Śledztwo Yahoo i BT wykazało podejrzaną aktywność pochodzącą z Turcji i Rosji. Niestety rzecznik Yahoo nie chciał skomentować tego faktu (w końcu nie ma się czym chwalić). Część poszkodowanych także zanotowała aktywność z tych krajów:

Dochodzenie Yahoo

 

W pierwszej fazie problemów z pocztą, które zaczęły się 4 marca BT podano informację o tym, że były to ataki typu phishing:

Oficjalna informacja od BT

Oficjalna informacja od BT.

Niestety co do naruszeń kont, które nastąpiły po 8 marca serwis póki co milczy…

Podobną aktywność spamerską odnotowano w ubiegłym miesiącu w Nowej Zelandii – tutaj podobnie atak był zorientowany tylko na jednego dostawcę Internetu – w tym wypadku był to Telecom NZ.

Nie wiadomo jak doszło dokładnie do ataku – być może jest to powiązane z poprzednim, o którym informowaliśmy Was w styczniu. Sęk w tym, że metodę tą na tak dużą skalę ciężko by zastosować. Oczywiście jak tylko czegoś nowego dowiemy się w tej sprawie, to poinformujemy Was o tym.

dodany: 11.01.2013 | tagi: , , ,

Niebezpieczeństwo w poczcie Yahoo

3

Niedawno informowaliśmy Was o wprowadzeniu protokołu HTTPS do poczty Yahoo (zobacz newsa: Yahoo dodaje obsługę HTTPS do swojej poczty). Użytkownikom tej poczty radzimy przełączenie się na bezpieczniejszą wersję protokołu, gdyż Shahin Ramezany udowodnił podatność klienta pocztowego na atak cross-site scripting. Spreparowany przez niego exploit pozwala na przejęcie kontroli nad kontem ofiary.

Atak ten bazuje na metodzie DOM (ang. Document Object Model) i jest możliwy do zrealizowania w każdej dostępnej przeglądarce internetowej. Ramezany przedstawił metodę przejęcia konta w niecałe 5 minut, za pomocą złośliwego linka, uzupełniając te działania socjotechniką oraz platformą do pentestów – przebieg z tej akcji możecie obejrzeć na poniższym filmie:

W metodzie tej posłużono się zewnętrznym złośliwym plikiem HTML, który pozwala na przejęcie cookie odpowiedzialnego za logowanie do poczty atakowanego. Powyższa demonstracja dotyczy „wersji” poczty na standardowym protokole HTTP.

Domyślnie logowanie do poczty Yahoo przebiega z użyciem protokołu HTTPS, ale sama aplikacja poczty działa już na protokole w wersji niezabezpieczonej.

Stosowną opcję znajdziemy w zakładce Opcje poczty, gdzie należy zaznaczyć opcję Włącz SSL (Zabezpiecz usługę Poczta Yahoo! przy użyciu protokołu SSL zapobiegając dostępowi innych osób do Twojego konta w kafejkach internetowych).

W naszym kraju poczta Yahoo nie jest popularna, ale na świecie używa jej ponad 400 milionów użytkowników.

dodany: 09.01.2013 | tagi: , ,

Yahoo dodaje obsługę HTTPS do swojej poczty

3

Yahoo nareszcie zaczyna doganiać innych dostawców poczty internetowej i oferuje HTTPS jako opcję. Po długich staraniach, namowach i prośbach użytkownicy poczty Yahoo wreszcie dostali to, czego chcieli. A nie chcieli zbyt dużo – zwykłą poprawę ich prywatności w trakcie korzystania z poczty, szczególnie przy połączeniach Wi-Fi, gdzie logowanie za pomocą HTTP budziło niepokój.

Od teraz użytkownik poczty Yahoo przechodząc do zakładki „Opcje” może wybrać „Włącz SSL”. Tak proste i szybkie, a tak długo trzeba było czekać. Wstyd.

Ale jeszcze większym wstydem jest fakt, że wielu użytkowników tej opcji jeszcze nie posiada. Wdrożenia idą bardzo, ale to bardzo wolno. O jakimkolwiek oświadczeniu czy małej informacji od Yahoo można tylko pomarzyć.

Electronic Frontier Foundation gratuluje Yahoo podjęcia kroków udostępnienia protokołu HTTPS swoim użytkownikom. Szczególnie ważne jest to dla tych użytkowników, którzy podlegają takiej władzy państwowej, która lubi być na bieżąco z prywatną korespondencją swoich obywateli.

Patrząc na powolne wdrażanie HTTPS przez Yahoo zaczynam się zastanawiać, po co robią coś, co najwyraźniej specjalnie ich nie cieszy. Włączenie dodatkowej opcji nie powinno być aż tak dużym i trudnym wyzwaniem, a brak nawet najmniejszej informacji o postępach może zniechęcić garstkę tych użytkowników, którzy jeszcze z tej poczty korzystają.

dodany: 30.10.2012 | tagi: , , ,

Yahoo ignoruje ustawienia śledzenia w IE10

0

Yahoo zdaje się mocno poszukiwać funduszy, gdyż postanowiło zignorować standardowo włączoną opcję, wedle domyślnych ustawień, blokowania śledzenia przez reklamodawców przeglądarki IE10. Opcja ta zostaje wyłączona, jeśli zdecydujemy się na ofertę usprawnienia przeglądarki za pomocą jednego kliknięcia. Wśród proponowanych ustawień opcja Do Not Track (DNT) zostaje wyłączona.

Yahoo tłumaczy, iż domyślne ustawienia przeglądarki nie koniecznie odpowiadają zamierzeniom użytkownika, który niekoniecznie ma świadomość, że jest to dla niego dobre rozwiązanie.

Predefiniowane ustawienia Yahoo dla IE10 (źródło NakedSecurity)

Zdefiniowane ustawienia Yahoo naruszają nasz wybór, dlatego odradzamy użycia predefiniowanego „ulepszenia” przeglądarki IE10. Przypomnijmy również, iż wyraz dezaprobaty wobec standardowo włączanego DNT ogłosiło Apache Foundation (zobacz newsa).

dodany: 25.10.2012 | tagi: , , ,

Google, Yahoo i Microsoft wzmacniają swoją pocztę

1

Trzech najważniejszych potentatów mailowych wzmocniło ochronę swoich usług. Problem dotyczył faktu, iż do tej pory używali 1024-bitowego klucza w implementacji mechanizmu DomainKeys Identified Mail (DKIM). Według niektórych rozważań klucz RSA o takiej długości może być w stosunkowo łatwy sposób złamany – teorię na ten temat przedstawiono na stronie US-Cert.

Sposobność złamania odkrył jako pierwszy, matematyk Zachary Harris, który otrzymał maila od łowcy talentów z firmy Google, ze wspomnianym słabym kluczem. Jak podaje serwis Wired – Harris złamał ten klucz oraz wysłał spreparowanego maila do założycieli Google:  Larry’ego Page’a i Sergey’a Brina. W mailu znalazła się odmowa odnośnie oferty pracy. Haris zapytał się też, czy słabość tego klucza była zadaniem wstępnym – odpowiedzi nie otrzymał, ale Google dwa dni później zaczęło stosować klucze o długości 2048 bitów.

Nie inaczej postąpiły też firmy Yahoo oraz Microsoft. Harris zwraca uwagę, iż PayPal stosuje klucz o długości zaledwie 768 bitów – jest on  stosunkowo łatwy do złamania. Takiej samej długości klucze wykorzystuje także bank HSBC, LinkedIn, US Bank (i się dziwić, że są później włamania).  Jeszcze krótsze klucze, bo 512-sto bitowe stosuje eBay, Amazon oraz Twitter.

Harris zwraca uwagę, iż klucz  384-bitowy może złamać w ciągu doby na swoim laptopie, 512-bitowy wymaga już 72 godzin, natomiast złamanie 768-bitowego wymaga już sporej wiedzy i mocy obliczeniowej, aczkolwiek jest jak najbardziej możliwe.

 

 

 

dodany: 03.08.2012 | tagi: , ,

Yahoo pozwane za ujawnienie hasła użytkownika

0
Yahoo :(

Yahoo zostało pozwane przez jednego ze swoich użytkowników. Jeff Allan z New Hampshire twierdzi, że internetowa firma ze Stanów Zjednoczonych, która jest właścicielem najczęściej odwiedzanej strony na świecie, jest winna zamieszczeniu w wyniku niedopatrzenia 450 000 haseł członków społeczności blogerskiej Yahoo Voices online.

Jeff Allan zgłosił się do sądu federalnego w San Jose w Californii po tym, gdy zagrożone zostało jego konto na eBayu. Do logowania się do sklepu używa bowiem tego samego hasła, co do Yahoo Voices.

Przypadek Yahoo nie jest odosobniony. To kolejny przykład wykradania danych z dużych serwisów. Jego poprzednikami byli LinkedIn i Nvidia. Do tej pory zostało opublikowanych miliony haseł.

Czy Yahoo zasługuje na to, żeby zostać pozwanym?

Yahoo i inne podobne serwisy, przyciągają do siebie użytkowników na wiele sposobów, oferując im wiele funkcjonalności. Z czasem zaczynają grać coraz większą rolę w ich życiu. Stają się wszechmocne. Oferują narzędzia, dzięki którym mogą zarządzać swoim życiem, kontaktować się z ludźmi, organizować pracę i wolny czas. Takie serwisy starają się jak najlepiej dopasować swoje usługi do użytkowników, więc otrzymuje się odpowiednio dobrany kontent, np. artykuły na tematy, które są dla nas interesujące czy stargetowane reklamy. Te serwisy internetowe są świetne, jeśli chodzi o marketing. Jednak w takich sytuacjach, gdy wyciekają hasła, okazuje się, że serwisy te nie traktują swoich użytkowników poważnie. Nie dbają o nasze osobiste dane i nie zabezpieczają ich w profesjonalny sposób.

Ochrona tak delikatnych informacji, jak hasła użytkowników, to bardzo ważna sprawa.

Wiele osób, takich jak Jeff Allan, używa jednego hasła do kilku serwisów. Dlaczego? Prawdopodobnie z niedostatecznej wiedzy o zagrożeniach, jakie na nie czyhają. Tym bardziej serwisy typu Yahoo powinny wziąć na siebie odpowiedzialność za takich Internautów, których na świecie jest bardzo wiele, i włożyć dużo wysiłku w ochronę poufnych danych. Mogłyby też przeznaczyć część swojego miejsca reklamowego na informacje o tym, jak ważne dla bezpieczeństwa użytkowników jest tworzenie długich, skomplikowanych haseł. Powinny też umożliwić Internautom dbanie o własne bezpieczeństwo.

The Mighty Buzzard, który komentował informację o pozwaniu Yahoo, na forum it.slashdot.org napisał:

„Nigdy nie używam hasła, które ma mniej niż 30 znaków długości, ale są strony, z których korzystam, które nakładają limity – pozwalają na hasła maksymalnie do 8 znaków. Większość (około 95%) haseł o takiej lub mniejszej długości, może być odkryta w ciągu godziny przez jeden komputer”.

Duże serwisy internetowe powinny inwestować w bezpieczeństwo sieciowe. W dobie cyberwojen i rozwoju technologicznego, mogą, jak widać, stać się celem ataków.

Żeby zapobiec katastrofie, Yahoo potrzebowało naprawdę niewiele. Każda dystrybucja Linuxa oferuje docelowo przynajmniej szyfrowanie pliku z hasłem/hasłami. Yahoo działa tylko na oprogramowaniu linuksowym. Serwis mógł więc wykorzystać podstawowe narzędzia ochrony od Linuxa wraz z dodatkowymi, dla pełnej ochrony.

Kradzież haseł, a potem ich publikacja, była następstwem niezaszyfrowania pliku z hasłami użytkowników. Były one przechowywane jako czysty tekst pomimo tego, że są to praktyki wysokiego ryzyka.

W  związku z ewidentnym zaniedbaniem, serwis bez wątpienia zasługuje na pozew. Sprawa sądowa będzie jednak walką Dawida z Goliatem, ponieważ do tej pory nie ma odpowiednich paragrafów, na mocy których można byłoby skazać taki serwis za brak wiedzy, nieostrożność i brak szacunku dla użytkowników.

Źródło: http://bit.ly/Q2XMrb

dodany: 02.08.2012 | tagi: ,

Użytkownicy pozywają Yahoo

0

Yahoo zostało pozwane z powodu zaniedbania po ujawnieniu, że około 450 000 loginów i haseł zostało skradzionych z jednej ze stron, której jest właścicielem.

Portal został podany do sądu przez użytkownika swoich usług. Skarga została złożona pod koniec lipca w sądzie federalnym w San Jose w Kalifornii, który stwierdził, że upublicznienie danych użytkownika odbyło się bez jego zgody, a to jest podstawą do wszczęcia postępowania sądowego.

Najwyraźniej informacje okazały się być upublicznione po tym, jak 11 lipca haker włamał się do bazy danych firmy.

Jeff Allan, poszkodowany użytkownik Yahoo, stwierdził w swojej skardze, że Yahoo ponosi odpowiedzialność za nieodpowiednią ochronę poufnych danych swoich użytkowników.
On sam został powiadomiony o zaistniałej sytuacji po otrzymaniu zawiadomieniu o oszustwie ze swojego konta w serwisie eBay. To jest podstawą jego domagania się o odszkodowanie dla siebie i innych pokrzywdzonych.

Serwis, o którym mowa to Yahoo Voice – znany także jako Associated Content, który został przejęty przez Yahoo w 2010 roku.  Hakerzy przeniknęli do bazy Yahoo, używając union-based SQL injection, który w zasadzie podpuszcza słabo zabezpieczone strony internetowe do ujawnienia informacji. Po utworzeniu kopii danych, są one szybko udostępnione za pośrednictwem BitTorrenta i różnorodnych „schowków” w Internecie.

Na blogu grupa hakerów napisała:
„Mamy nadzieję, że podmioty odpowiadające za zarządzanie bezpieczeństwem tej subdomeny potraktują to jako swego rodzaju pobudkę do działania, a nie zagrożenie. Istnieje wiele luk w zabezpieczeniach wykorzystywanych w serwerach internetowych należących do Yahoo, które spowodowały więcej szkody, niż nasze ujawnienie danych. Proszę nie traktować ich jako błahostki. Subdomena i parametry błędów nie zostały opublikowane w celu uniknięcia dalszych szkód”.

Luka w zabezpieczeniach została załatana dzień po powyższym oświadczeniu. Yahoo potwierdziło, że pewna liczba kont została naruszona, ale powiedziało też, że tylko 5 % z ujawnionych danych było ważnymi danymi logowania na ich subdomenie.