Um hacker com a alcunha de “TheHell” está vendendo uma espécie de minicurso, que ensina como explorar uma vulnerabilidade nas contas de email do Yahoo!. Para aprender a aproveitar as brechas, o “aprendiz” deve desembolsar 700 dólares (cerca de 1.458 reais). Ele inclusive postou um vídeo mostrando como é o esquema, tudo para provar que o truque realmente funciona.
Pela explicação, o hacker explora uma vulnerabilidade nova e recém-descoberta, chamada, nesses casos, de “zero-day vulnerability” (ou, em português, algo como vulnerabilidade dia-zero). Por meio dela, ele consegue fazer com que exista um script cross-site (XSS) que permite o roubo dos cookies e contas dos usuários.
De um jeito conhecido
Antes de tudo, para que o truque funcione, o hacker precisa fazer com que a sua vítima clique em um link malicioso. Quando alguém faz isso, um logger automaticamente entra em ação, copiando todos os cookies do dono da conta. Com isso, ele permite que o atacante consiga acessar o email da vítima e, a partir daí, ele pode fazer o que quiser, seja roubar a conta ou, então, copiar informações pessoais importantes, por exemplo.
Além disso, o truque permite também que o hacker redirecione o invadido para onde ele desejar, isso assim que o dono do email clicar no link malicioso. Para disfarçar, o invasor pode simplesmente mandar a sua vítima novamente para a sua conta, fazendo com que ele nem perceba os acontecimentos em questão.
Já resolvido
Segundo o Yahoo!, a falha já está sendo consertada, pois essa não é a primeira vez que uma falha do tipo que explora o XSS é descoberta. Assim, basta que todos sigam as recomendações de sempre, ou seja, não clique em links estranhos, mesmo que venham anexados em mensagens de pessoas conhecidas.
Fontes
Categorias